Dans ce tutoriel, nous allons voir comment mettre en place une politique de mot de passe d'un système d'exploitation Linux en utilisant PAM (Pluggable Authentication Module) et le module "pwquality". Nous verrons comment gérer les différents paramètres de cette politique.
Une politique de mot robuste est l'une des premières protections que doit comporter tout système ou application. Le terme "politique de mot de passe" comprend toutes les règles qui visent à gérer la structure des mots de passe (composition, longueur), mais aussi leur cycle de vie (renouvellement, changement, historique, durée de validité) et leur utilisation (nombre de tentatives d'authentification).
Il est important d’avoir une bonne gestion et une bonne configuration de la politique des mots de passe sur son système. Pour rappel, un mot de passe fort doit suivre les recommandations suivantes :
Comprendre au moins 12 à 14 caractères.
Ne pas contenir ni votre nom d’utilisateur, ni votre vrai nom, ni le nom de la société ou autre donnée en relation avec vous.
Contenir des caractères provenant de chacune des quatre catégories suivantes : minuscule, majuscule, chiffre, caractères spéciaux.
Pour aller plus loin dans la compréhension de ce qu'est un mot de passe robuste, je vous oriente vers la documentation de l'ANSSI sur ce sujet :
Pour rappel, PAM est un système modulaire qui gère l’authentification des utilisateurs sous Linux. Nous allons utiliser le module "pwquality" qui permet de gérer tous les paramètres relatifs à la structure du mot de passe.
Version originale de l'article : 10 septembre 2013.
II. Gestion de la politique des mots de passe avec PAM
A. Installation de libpam-pwquality
Pour commencer, nous devons installer le module nécessaire pour finement gérer la qualité des mots de passe avec PAM : le module "libpam-pwquality.
# Installer libpam-pwquality sous Debian
sudo apt-get update
sudo apt-get install libpam-pwquality
# Installer libpam-pwquality sous Red Hat
sudo yum install pam_pwquality
Pour information, "libpam-pwquality" et "pam_pwquality" ont remplacé "libpam-cracklib" et "pam_cracklib" dans les distributions modernes. Cette installation devrait faire apparaitre le fichier "pam_pwquality.so" dans le dossier "/usr/lib/x86_64-linux-gnu/security/" :
Nous nous rendons ensuite dans le répertoire "/etc/pam.d/" où se trouvent les fichiers de configuration de PAM. Le fichier "common-password" (ou "password-auth" et "system-auth" sur Red Hat) gère les règles de construction des mots de passe lors de la création ou de la modification des utilisateurs.
Sous Debian et dérivés, nous allons éditer le fichier "/etc/pam.d/common-password" ("/etc/pam.d/password-auth" et "/etc/pam.d/system-auth" sous Red Hat et dérivés) pour y modifier la ligne contenant "pam_pwquality.so", celle-ci a été ajoutée automatiquement à l'installation de "pam_pwquality.so" :
# Avant modification
password requisite pam_pwquality.so retry=3
# Après modification
password requisite pam_pwquality.so retry=3 minlen=12 difok=3
La modification de la politique prendra effet dès l'enregistrement du fichier modifié. Voici le détail des paramètres que nous venons d'ajouter dans notre politique de mot de passe :
retry=3 : autorise trois essais pour la saisie du mot de passe ;
minlen=12 : détermine la longueur minimale d’un mot de passe ;
difok=3 : indique le nombre de caractères qui doivent être différents entre un ancien et un nouveau mot de passe.
Nous pouvons à présent tester la politique de mot de passe. Rien de plus simple : créez un nouvel utilisateur et essayez de définir un mot de passe faible.
sudo adduser testuser
# Lors de la saisie du mot de passe, essayez avec un mot de passe faible comme "2".
Nouveau mot de passe : 2
MOT DE PASSE INCORRECT : Le mot de passe comporte moins de 12 caractères
PAM analysera le mot de passe saisi et indiquera les problèmes comme la longueur insuffisante ou l'utilisation de motifs simples, en fonction des directives paramétrées.
C. Exemple de politique de mot de passe renforcée
Pour renforcer la politique des mots de passe, vous pouvez ajouter des paramètres supplémentaires. Par exemple :
Les paramètres que nous venons d'ajouter sont les suivants :
ucredit=-1 : exige au moins une lettre majuscule.
lcredit=-1 : exige au moins une lettre minuscule.
dcredit=-1 : exige au moins un chiffre.
ocredit=-1 : exige au moins un caractère spécial.
Avec cette configuration, les mots de passe doivent à présent respecter strictement certaines directives concernant leur composition. Si vous souhaitez connaitre l'ensemble des paramètres utilisables avec "pam_pwquality.so", je vous oriente vers la documentation du module :
En configurant correctement la politique des mots de passe avec PAM et "pam_pwquality", vous pourrez renforcer la sécurité de votre système Linux en imposant des mots de passe robustes pour tous les utilisateurs. Ces configurations sont essentielles pour protéger les comptes utilisateurs contre les accès non autorisés.
Enfin, si vous souhaitez utiliser "pam_pwquality" avec une blacklist de mot de passe personnalisée, je vous oriente vers notre article sur ce sujet :
Enfin un rayon de soleil en juin 2024 : notre partenaire GoDeal24 propose une nouvelle salve de promotions sur les licences, que ce soit celles des produits Microsoft ou pour certains logiciels tiers !
Les offres de GoDeal24 sont regroupées sur cette page ! Ce sera peut-être l'occasion de vous offrir une licence Microsoft Office, la suite bureautique utilisée par plus d'un milliard de personnes dans le monde.
Offres du moment : Microsoft Office, en guest star
Toutes les offres chez les éditeurs tiers (hors Microsoft) sont regroupées sur cette page.
Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, le site GoDeal24 a la note de 4.8 sur 5 avec plus de 3 400 avis.
Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante :[email protected]
Ce week-end, une attaque par déni de service distribué (DDoS) importante a été orchestrée par des cybercriminels russes ! Leurs cibles : 14 sites du gouvernement français ! Voici ce que l'on sait sur cette attaque.
Ce samedi 15 juin, une attaque par déni de service distribuée a mis hors ligne 14 sites du gouvernement français. Parmi les sites impactés par cette cyberattaque, il y a notamment celui de la Police Nationale, de Légifrance, de l'INSEE, du Service Public ou encore celui des Ministères de l'Écologie et de la Culture. Même si tout semble revenu à la normale désormais, plusieurs sites étaient toujours inaccessibles lundi 17 juin, environ 48 heures après le début de la cyberattaque.
Pour rappel, une attaque par déni de service distribué (DDoS) consiste à surcharger de requêtes le serveur pris pour cible afin de le rendre indisponible. Si l'indisponibilité dure plusieurs heures, c'est que flux de requêtes ne parvient pas à être mitigé ou que le système a été isolé par mesure de protection. Dans tous les cas, ceci résulte en une indisponibilité du serveur web pris pour cible, lorsque l'attaque vise un site web.
Cette cyberattaque aurait été orchestrée par le gang de pirates russes surnommé NoName057(16), actif depuis mars 2022. Il s'agit d'un groupe d'hacktivistes pro-russes qui visent à défendre les intérêts de la Russie à travers le monde. Leurs actions malveillantes comme celle-ci sont effectuées dans le cadre du projet DDoSia, dont l'objectif est d'opérer des attaques DDoS à l'encontre des pays contre l'invasion russe en Ukraine. Ce projet présent sur Telegram comptabilise plusieurs milliers d'utilisateurs, comme le rapporte SaxX sur X (Twitter).
Ces attaques ne sont pas nouvelles et cela risque de s'intensifier dans les prochaines semaines, notamment à l'approche des Jeux Olympiques de Paris 2024. Ce n'est pas un secret. En mars 2024, la France avait été ciblée par une attaque DDoS de grande ampleur lors de laquelle les pirates avaient pris pour cible une trentaine de sous-domaines de ".gouv.fr".
Dans ce tutoriel, nous allons partir à la découverte de l'interpréteur de commandes Bash sous Linux. Au-delà de permettre à l'utilisateur d'exécuter des commandes pour effectuer l'administration d'une machine, le Bash va être très utile pour automatiser des tâches sur Linux. Cet article d'introduction vous aidera à faire vos premiers pas avec le Bash sous Linux.
Suite à la lecture de cet article, vous devriez être en mesure de mettre en pratique le Bash sous Linux afin d'automatiser vos premières tâches à l'aide de scripts.
Le Bash, acronyme de "Bourne Again Shell", est l'un des interpréteurs de commandes les plus utilisés sur les systèmes Unix et Linux. Il est présent par défaut sur la majorité des distributions Linux, notamment les plus populaires tels que Debian, Ubuntu, Rocky Linux, etc. Autrement dit, Bash est ce que l'on appelle un shell, c'est-à-dire une interface système qui se positionne entre l'utilisateur et le système d'exploitation.
Bash permet d'exécuter des commandes sur la machine locale, de créer et d'exécuter des scripts pour automatiser des tâches selon les besoins d'un utilisateur ou d'une organisation. De plus, c'est aussi un excellent moyen de gérer une machine et les données qu'elle stocke.
Si vous travaillez sur les environnements Linux et que vous désirez être à l'aise dans l'administration des serveurs sous Linux, Bash est une compétence essentielle.
III. Premiers pas avec les commandes Bash
D'abord, il est important de se familiariser avec les commandes de base du Bash. Ceci servira d'introduction avant d'évoquer les scripts Bash en tant que tel. Parmi ces commandes, nous allons retrouver des commandes basiques pour lister le contenu d'un répertoire, se déplacer d'un répertoire à un autre, créer un dossier ou un fichier ou encore supprimer des fichiers.
A. Syntaxe générique des commandes Bash
Chaque commande Bash dispose d'un nom et d'un ensemble d'options qui lui sont propres, selon ses fonctionnalités. L'écriture d'une commande Bash suit le modèle suivant :
commande [option(s)] [argument(s)]
Les options vont permettre de personnaliser le comportement de la commande Bash en fonction de nos besoins. Les arguments correspondent à nos valeurs personnalisées que l'on souhaite passer à la commande. Certaines options exigent un argument, d'autres non, tout dépend du fonctionnement de la commande.
commande option argument
ls -a /home/flo
Enfin, il est à noter qu'il y a des noms longs ("--NomOption") et des noms courts ("-Lettre") pour les options. Par exemple, avec la commande "ls" l'option "--recurse" peut également être écrite "-R", ce qui correspond à la fois à son nom long et à son nom court.
B. Commande pwd : affiche le répertoire de travail actuel
La commande "pwd" dont le nom signifie "Print Working Directory" affiche le répertoire courant de l'utilisateur, d'un point de vue du shell utilisé pour exécuter la commande. Ici, la commande retourne la valeur "/home/flo", ce qui est logique, car l'utilisateur se situe dans son répertoire personnel. Ceci est cohérent parce que le chemin du prompt indique "~".
pwd
C. Commande ls : liste les fichiers et les dossiers
La commande "ls" dont le nom est l'abréviation de "list" sert à lister le contenu d'un répertoire à partir du shell. L'exemple suivant sert à lister le contenu du répertoire "/home/flo". L'option "-l" étant là pour avoir un affichage long sous la forme d'une liste verticale.
ls -l /home/flo
Voici le contenu de ce répertoire sur la machine utilisée pour mes tests :
Cette commande contient de nombreuses options, et son affichage par défaut retourne des informations précieuses telles que les permissions, le groupe propriétaire et l'utilisateur propriétaire.
D. Commande cd : changer de répertoire courant, au niveau du shell
La commande "cd" sert à changer le répertoire dans lequel on se situe au niveau du shell actuel. Autrement dit, elle permet de naviguer dans les volumes de la machine à partir de la ligne de commande, comme nous pourrions le faire avec un explorateur de fichiers en mode graphique.
cd <chemin cible>
cd /etc
cd /tmp
E. Commande mkdir : créer un nouveau répertoire
La commande "mkdir", correspondante à "make directory", sert à créer des répertoires sur une machine Linux. Elle peut être utilisée pour créer un seul répertoire ou une arborescence complète.
Ainsi, l'exemple ci-dessous sert à créer le répertoire "Informatique" dans "/home/flo/Documents" car il s'agit de mon répertoire de travail actuel.
mkdir Informatique
En image, ce sera plus compréhensible :
L'exemple ci-dessous sert à créer les répertoires "Sources" et "Scripts" dans le répertoire "/home/flo/Documents/Informatique".
La commande "touch" sert à modifier les horodatages sur les fichiers Linux, c'est-à-dire les heures d'accès et de modification des fichiers. Elle peut aussi être utilisée pour créer un fichier vide : c'est surtout cet usage qui va nous intéresser pour cette introduction.
L'exemple ci-dessous permet de créer un fichier vide nommé "demo.txt" dans le répertoire "/home/flo/Documents/Informatique/Scripts/".
G. Commande rm : supprime des fichiers ou des répertoires
La commande "rm" peut être utilisée pour supprimer un fichier ou un répertoire, ainsi qu'un ensemble de fichiers et de répertoires, selon les besoins. Particulièrement puissante, si elle est mal utilisée, elle peut faire des dégâts très importants sur une machine Linux... Il est à noter qu'il y a aussi la commande "rmdir" pour la suppression de répertoires.
L'exemple ci-dessous sert à supprimer le répertoire "Sources" créé précédemment. L'option "-r", pour la récursivité, est indispensable, car il s'agit d'un répertoire.
rm -r /home/flo/Documents/Informatique/Sources/
L'exemple ci-dessous, très proche du précédent, va supprimer tout le contenu du répertoire sans supprimer le répertoire "Scripts" en lui-même.
rm -r /home/flo/Documents/Informatique/Scripts/*
Nous pouvons considérer ces commandes comme la base pour la manipulation de données et la navigation sur un système Linux à partir du shell. Avant de passer à l'écriture d'un script, nous allons évoquer le système d'aide.
H. L'aide et les pages de manuel
Comment obtenir de l'aide pour apprendre à utiliser une commande Bash ? Voilà une excellente question. Sachez que chaque commande intègre une aide qu'il est possible de consulter en appelant l'option "--help". Voici un exemple pour voir l'aide de la commande "ls" afin d'obtenir des informations complémentaires sur ses différentes options et leur signification.
De plus, nous pouvons consulter les pages de manuel de chaque commande, c'est-à-dire sa documentation, avec la commande man. Il suffit de spécifier le nom de la commande pour laquelle vous souhaitez obtenir de l'aide :
man ls
Donc, suite à l'exécution de cette commande, nous obtenons le résultat suivant :
Une recherche Web donne également accès à cette aide, car plusieurs sites permettent de consulter les versions en ligne des "man pages".
Désormais, nous allons apprendre à créer un script : ce sera surement l'occasion de mettre en pratique une ou plusieurs des commandes que nous venons d'étudier.
IV. Comment créer un script Bash ?
Avant même de parler du contenu d'un script Bash, comment pouvons-nous créer et éditer un script Bash sur une machine Linux ?
Sachez que les scripts Bash utilisent l'extension ".sh", au même titre que PowerShell utilise l'extension ".ps1" et Python l'extension ".py". Le nom de notre Bash devra donc terminer par ".sh".
Le script Bash peut être créé en tant que nouveau fichier avec une application, puis enregistré dans un second temps avec un nom respectant ce format. Sinon, nous pouvons aussi le créer avec la commande "touch" puis l'ouvrir avec l'application de notre choix pour le modifier.
C'est ce que nous allons faire ! Nous allons créer le fichier "ScriptBash.sh" à la racine du profil de notre utilisateur.
touch ~/ScriptBash.sh
Afin d'éditer ce script Bash, nous allons pouvoir utiliser les éditeurs de texte habituels lorsque l'on travaille sur Linux, à savoir l'éditeur minimaliste "nano" ou l'éditeur "vim" beaucoup plus complet, mais aussi plus difficile à appréhender. Enfin, si vous recherchez un véritable éditeur de code, vous devriez installer Visual Studio Code sur votre machine (gratuit) :
En ce qui me concerne, nano sera utilisé dans la suite de ce tutoriel, mais libre à vous d'utiliser l'application avec laquelle vous êtes plus à l'aise. L'éditeur Visual Studio Code étant recommandé.
V. Écrire son premier script Bash sous Linux
A. Ajouter le shebang à un script Bash
D'abord, nous allons ouvrir le fichier "ScriptBash.sh" pour l'éditer et commencer à écrire nos premières lignes de code... mais par où commencer ?
nano ~/ScriptBash.sh
La première ligne de votre script doit toujours être le Shebang ! Quoi ? Le Shebang est un élément important présent sur la première ligne d'un script dont l'objectif est d'indiquer l'interpréteur de script à utiliser pour exécuter le code du script ! Autrement dit, cette ligne va être utile pour indiquer qu'il convient d'utiliser le binaire de Bash.
Voici la ligne à ajouter :
#!/bin/bash
Ce qui donne :
B. Ajouter nos premières lignes de code
À la suite de ces lignes, il ne reste plus qu'à ajouter nos instructions, c'est-à-dire les commandes à exécuter, les commentaires, etc... Selon nos besoins.
Pour commencer, nous allons simplement écrire une phrase dans la console : "Hello World ! Premier script Bash !" à l'aide de la commande "echo".
#!/bin/bash
echo "Hello World ! Premier script Bash !"
Pour respecter les bonnes pratiques, nous allons aussi ajouter un commentaire pour expliquer à quoi sert cette ligne. Pour ajouter un commentaire, ajoutez simplement un "#" en début de ligne.
#!/bin/bash
# Ecrire un message dans la console
echo "Hello World ! Premier script Bash !"
Il n'est pas utile d'ajouter un point-virgule à la fin de la ligne. Bash sait que la commande se termine à la fin de la ligne et que la ligne suivante correspond à une autre commande. Néanmoins, il sera nécessaire d'inclure un point-virgule pour préciser plusieurs commandes sur la même ligne.
Enfin, enregistrez et fermez le fichier puisque nous allons apprendre à exécuter un script Bash sur Linux !
C. Exécuter un script Bash sur Liunx
Comment pouvons-nous exécuter ce script pour le tester ? Nous pouvons l'appeler en préfixant son nom par "./".
cd ~
./ScriptBash.sh
Une erreur est retournée : "bash: ./ScriptBash.sh: Permission non accordée". Que se passe-t-il ? Nous allons lister le contenu de notre répertoire pour jeter un œil aux permissions de notre fichier...
ls -l
Effectivement, nous pouvons constater qu'il y a des permissions de lecture (r) et d'écriture (w), mais il manque les permissions d'exécution !
Pour rendre ce script Bash exécutable, vous devez modifier les permissions de cette façon :
chmod +x ScriptBash.sh
Ensuite, tentez d'exécuter le script une nouvelle fois... Cette fois-ci, il est exécuté ! Finalement, la bonne nouvelle, c'est que le résultat attendu est retourné dans la console.
Sachez que sans éditer les permissions du fichier, nous aurions pu l'exécuter de cette façon :
bash ScriptBash.sh
Dans la suite de ce tutoriel, nous allons créer un nouveau script Bash plus complet, afin de découvrir un cas d'usage réel et des notions supplémentaires.
VI. Script Bash : variable, condition if, etc.
Nous allons créer un script Bash dont l'objectif sera le suivant : tenter d'effectuer un ping vers une machine, via son adresse IP ou son nom, afin de déterminer si elle est en ligne ou non. Ce sera l'occasion de faire nos premiers pas avec les variables en Bash et utiliser aussi une structure conditionnelle "If-Else". Le script complet est disponible à la fin de cette partie.
Créez un nouveau fichier nommé "ping.sh" et ouvrez-le avec un éditeur afin de pouvoir écrire des lignes de code. Suivez les différentes étapes ci-dessous pour construire votre script Bash progressivement.
A. Déclarer une variable en Bash
Commencez par insérer les lignes présentées ci-dessous.
Explications : pour déclarer une variable en Bash, vous devez écrire le nom de la variable suivi d'un signe égal (=) puis de la valeur à assigner à cette variable. Il est important de préciser qu'il ne doit pas y avoir d'espace ni avant ni après le signe égal !
Ici, nous déclarons la variable "SERVEUR" et nous lui affectons la valeur "192.168.1.254". Puis, lorsque nous appellerons cette variable par son nom, elle sera remplacée par sa valeur. Pour l'appeler, son nom doit être précédé par le signe "$".
#!/bin/bash
# Définir l'adresse du serveur sur lequel effectuer le ping
SERVEUR=192.168.1.254
B. Rediriger la sortie d'une commande en Bash
La seconde étape consiste à effectuer un ping vers ce serveur en appelant notre variable.
Explications : nous allons simplement utiliser la commande "ping" que vous connaissez déjà, en ajoutant le paramètre "-c" pour effectuer 2 ping (sur Linux, la commande ping doit être arrêtée manuellement si l'on ne précise pas le nombre de ping à effectuer).
La subtilité réside dans l'utilisation du caractère ">" à la suite de la commande ping pour rediriger la sortie de la commande vers un fichier, en l'occurrence ici, un fichier vide ("/dev/null"). L'objectif est de masquer la sortie de la commande ping : ce qui nous intéresse, c'est le résultat et non la sortie.
# Envoyer 2 ping au serveur correspondant à la varialbe $SERVEUR
ping -c 2 $SERVEUR > /dev/null
C. Écrire sa première structure conditionnelle If en Bash
La dernière étape consiste à évaluer le résultat de la commande ping pour déterminer si l'hôte définit dans la variable "SERVEUR" est joignable ou non. Ceci va nous amener à utiliser une structure conditionnelle "if-else".
Quelques mots sur la structure conditionnelle If-Else :
La structure conditionnelle va nous permettre de faire un test appelé une condition (comparer deux valeurs, par exemple) et en fonction du résultat, nous pourrons exécuter une action. Dans le cas où la condition est vrai, le code à la suite du "then" sera exécuté, tandis que si la condition est fausse, c'est le code à la suite du "else" qui sera exécuté (ceci est facultatif).
if [ condition ]
then
# Code à exécuter si la condition est vraie
else
# Code à exécuter si la condition est fausse
fi
Explications :
En Bash, "$?" est une variable spéciale qui contient le code de retour de la dernière commande exécutée, donc la commande "ping" dans notre cas. Cette variable est utilisée pour vérifier si une commande s'est exécutée correctement ou si elle a rencontré une erreur. Un code de retour de "0" indique que la commande s'est exécutée avec succès.
Nous allons évaluer le résultat de cette variable dans notre condition "if" : si elle n'est pas égale à "0", c'est qu'il y a eu un problème lors du ping de l'hôte, sinon, c'est que tout s'est bien passé ! Nous utiliserons la commande "echo" pour écrire du texte dans la console.
# Déterminer si le serveur est en ligne ou pas
if [ $? -ne 0 ]
then
echo "Erreur - Le serveur $SERVEUR n'a pas répondu au ping !"
else
echo "OK - Le serveur $SERVEUR est en ligne."
fi
D. Le script complet
Ainsi, pour finir, voici le code complet de ce script :
#!/bin/bash
# Définir l'adresse du serveur sur lequel effectuer le ping
SERVEUR=192.168.1.254
# Envoyer 2 pings au serveur correspondant à la varialbe $SERVEUR
ping -c 2 $SERVEUR > /dev/null
# Déterminer si le serveur est en ligne ou pas
if [ $? -ne 0 ]
then
echo "Erreur - Le serveur $SERVEUR n'a pas répondu au ping !"
else
echo "OK - Le serveur $SERVEUR est en ligne."
fi
Nous n'avons plus qu'à l'exécuter pour tester son bon fonctionnement :
chmod +x ping.sh
./ping.sh
Voici un exemple de sortie :
VII. Le pipeline en Bash
Pour finir cette introduction au scripting Bash sous Linux, nous allons évoquer une notion très importante : le pipeline, correspondant au caractère "|" que nous retrouvons sur la touche 6 d'un clavier AZERTY.
Le pipeline permet de connecter plusieurs commandes entre elles puisque la sortie d'une commande sert d'entrée pour la seconde commande, et ainsi de suite. En effet, la sortie standard (stdout) d'une commande est redirigée comme entrée standard (stdin) de la commande suivante. Le fait de pouvoir combiner des commandes ouvre des possibilités très intéressantes, notamment pour effectuer des filtres, des recherches ou des opérations plus complexes.
Si nous souhaitons compter le nombre de lignes présentes dans notre script Bash "ping.sh", comment pouvons-nous faire ?
Nous pouvons coupler l'utilisation de deux commandes :
cat pour afficher le contenu du fichier.
wc dont le nom signifie "Word Count" pour compter le nombre de lignes dans notre fichier.
La commande "cat" va nous permettre de récupérer le contenu du fichier et de l'envoyer à la commande "wc" par l'intermédiaire du pipeline, afin de retourner le nombre de lignes.
Ce qui donne la commande suivante :
cat ping.sh | wc -l
En fin de compte, nous savons désormais qu'il y a 15 lignes dans notre script Bash !
VIII. Conclusion
Cette introduction à la rédaction de scripts Bash touche à sa fin ! Nous avons abordé l'utilisation de quelques commandes, ainsi que la création et l'exécution d'un script Bash, puis nous avons créé nos deux premiers scripts Bash ! Désormais, il ne vous reste plus qu'à pratiquer sur différents cas d'usage pour monter en compétences sur ce sujet.
Pour approfondir le sujet, vous pouvez consulter nos tutoriels Bash en utilisant le lien ci-dessous :
Le dernier Patch Tuesday de Microsoft contient un correctif pour une faille de sécurité importante présente dans le pilote Wi-Fi de Windows (CVE-2024-30078). Quels sont les risques ? Faisons le point !
Le mardi 11 juin 2024, Microsoft a publié son Patch Tuesday de juin 2024 dans le but de corriger 51 vulnérabilités et 1 faille zero-day. Dans cette liste de vulnérabilités, il y a la CVE-2024-30078 qui mérite une attention particulière. Associée à un score CVSS v3.1 de 8.8 sur 10, cette faille de sécurité présente dans le pilote Wi-Fi de Windows permet à un attaquant d'exécuter du code à distance sur une machine, sans avoir un accès physique direct.
Microsoft indique également que l'exploitation de cette vulnérabilité ne nécessite aucune interaction de la part de l'utilisateur ! Pour l'attaquant, il suffit d'être à portée de l'ordinateur cible afin de mener cette attaque qui repose sur le Wi-Fi : il n'y a pas de lien sur lequel l'utilisateur doit cliquer, ni même de fichier à ouvrir, etc. L'attaquant n'a pas non plus besoin de connaître un compte utilisateur sur l'ordinateur cible puisque cette vulnérabilité s'exploite sans authentification préalable : il suffit que la machine détecte le réseau malveillant.
Voici ce que l'on peut lire sur le site de Microsoft au sujet de la CVE-2024-30078 : "Un attaquant non authentifié pourrait envoyer un paquet réseau malveillant à un système adjacent qui utilise un adaptateur réseau Wi-Fi, ce qui pourrait permettre l'exécution de code à distance." - Dans ce cas, le code est exécuté sur l'appareil avec les privilèges SYSTEM sur Windows. Ainsi, l'attaquant peut prendre le contrôle de l'appareil.
Cette faille de sécurité pourrait être exploitée dans les gares, les aéroports ou encore les hôtels puisque ce sont des lieux où les attaquants peuvent être proches de nombreux appareils Windows, aussi des machines personnelles que professionnelles.
Dans la liste des versions de Windows et Windows Server affectées, nous retrouvons toutes les versions à partir de Windows Server 2008 et Windows 10. Pour vous protéger, vous l'aurez compris, il faut installer les mises à jour cumulatives de juin 2024 pour Windows.
La mise à jour de juin 2024 pour Windows 11 serait-elle liée à un bug rencontré par les utilisateurs de OneDrive ? Pour le moment, la question reste sans réponse officielle de la part de Microsoft. Voici ce que l'on sait sur ce problème.
Les utilisateurs de OneDrive sont confrontés à un problème plutôt gênant qui affecte directement la synchronisation des dossiers partagés. En effet, ceux-ci apparaissent sous la forme de raccourcis Internet au lieu des fichiers eux-mêmes. À cause de ce problème, les utilisateurs peuvent ne plus pouvoir accéder à certains fichiers.
Ce dysfonctionnement semble lié aux dossiers partagés OneDrive, lorsqu'un utilisateur partage un dossier avec un autre utilisateur. Dans le cas présent, l'ajout d'un dossier partagé à son OneDrive via l'option "Ajouter un raccourci à OneDrive" n'affiche plus les fichiers, mais des raccourcis inutilisables à la place.
Microsoft est au courant de ce problème, et l'entreprise américaine indique qu'elle a reçu de nombreux signalements de la part des utilisateurs. "Nous avons récemment reçu un grand nombre de rapports similaires au vôtre et avons confirmé que ce problème est lié à un bug dans la fonction de partage de dossier OneDrive. Pour l'instant, malheureusement, il n'y a pas encore de solution.", peut-on lire sur cette page du forum Microsoft.
Quelle est la source de ce problème ? Pour l'instant, il n'y a pas de certitude à ce sujet. Certains utilisateurs ont rencontré le problème sur Windows 11 22H2, tandis que d'autres affirment que ce problème s'est produit suite à l'installation de la KB5037853. Il s'agit d'une mise à jour pour Windows 11 qui donne un aperçu des changements intégrés à la mise à jour cumulative de juin 2024. Si c'est le cas, ce bug pourrait aussi impacter ceux qui ont installé la KB5039212.
Pour le moment, il est préférable d'attendre une solution de Microsoft. Si vous avez besoin d'accéder aux fichiers du dossier partagé, vous pouvez toujours passer l'interface de OneDrive pour accéder aux fichiers, et éventuellement les télécharger.
ASUS a publié une nouvelle mise à jour de firmware pour certains de ses routeurs dans le but de corriger une faille de sécurité critique. En l'exploitant, un attaquant peut accéder au routeur à distance, sans avoir besoin de s'authentifier. Faisons le point.
La faille de sécurité critique CVE-2024-3080, associée à un score CVSS v3.1 de 9.8 sur 10, est une vulnérabilité de contournement de l'authentification. Elle peut être exploitée par les cybercriminels pour prendre le contrôle de routeurs ASUS à distance, sans avoir besoin de se connecter avec des identifiants.
Tous les routeurs ASUS ne sont pas vulnérables puisque cette vulnérabilité affecte seulement 7 modèles de routeurs. Voici la liste :
XT8 (ZenWiFi AX XT8)
XT8_V2 (ZenWiFi AX XT8 V2)
RT-AX88U
RT-AX58U
RT-AX57
RT-AC86U
RT-AC68U
Comment se protéger de la CVE-2024-3080 ?
Pour se protéger de la CVE-2024-3080, il convient de mettre à jour son routeur vers la dernière version du firmware. Bien que le bulletin de sécurité d'ASUS date du 14 juin 2024, ces mises à jour sont disponibles depuis fin mars ou depuis la mi-avril, selon les modèles. Les mises à jour de firmware sont référencées sur cette page. De plus, consultez cette page de la FAQ pour obtenir de l'aide pour l'installation de la mise à jour.
Si vous ne pouvez pas effectuer la mise à jour du firmware dès maintenant, voici les conseils d'ASUS : "Si vous ne pouvez pas à mettre à jour le micrologiciel rapidement, assurez-vous que vos mots de passe de connexion et WiFi sont robustes. Il est recommandé de désactiver tous les services accessibles depuis l'internet, tels que l'accès à distance depuis le WAN, la redirection de port, le DDNS, le serveur VPN, la DMZ, et le déclenchement de port."
Par ailleurs, ASUS a publié une mise à jour pour son utilitaire de téléchargement Download Master, qui s'appuie également sur les routeurs pour télécharger des fichiers sur un périphérique de stockage connecté en USB. Vous devez utiliser la version 3.1.0.114 de Download Master puisqu'elle vous protège de 5 failles de sécurité.
Mozilla a introduit plusieurs nouveautés dans Firefox 127, la nouvelle version de son navigateur web. Désormais, les informations stockées dans le "Gestionnaire de mots de passe" de Firefox peuvent être protégées par un code PIN ou des informations biométriques.
À l'instar de Google Chrome, Microsoft Edge et consort, Mozilla Firefox intègre un "Gestionnaire de mots de passe" que l'utilisateur peut utiliser pour stocker ses identifiants d'accès à des sites et applications.
Mozilla a pris la décision de renforcer l'accès aux identifiants stockés dans ce gestionnaire de mots de passe. Désormais, l'utilisateur peut exiger une vérification de son identité lors d'un accès aux informations stockées sur son appareil.
Voici ce que précise Mozilla à ce sujet : "Pour une protection accrue sur MacOS et Windows, une connexion à l'appareil (par exemple, le mot de passe de votre système d'exploitation, l'empreinte digitale, la reconnaissance faciale ou vocale si elle est activée) peut être exigée lors de l'accès et du remplissage des mots de passe stockés dans la page about:logins du Gestionnaire de mots de passe de Firefox."
Comment activer cette fonctionnalité dans Firefox 127 ?
Cette nouvelle option nommée "Exiger la connexion à l’appareil pour renseigner et gérer les mots de passe" se situe dans la section "Vie privée et sécurité" des paramètres.
En activant cette option, l'utilisateur se protège contre les accès indésirables sur son ordinateur, que ce soit des accès physiques ou distants. Néanmoins, ceci ne permet pas de se protéger contre les malwares infostealers (logiciels malveillants voleurs d'informations). En effet, les identifiants sont stockés sur le disque dans un fichier qui n'est pas chiffré par défaut. Pour plus de sécurité et se protéger de ces malwares, vous devez définir un mot de passe principal robuste : il sert de clé pour déverrouiller et déchiffrer les identifiants stockés dans le gestionnaire de mots de passe de Firefox.
Cette nouveauté est disponible pour les utilisateurs de Firefox sur macOS et Windows. Nous vous invitons à consulter cette page pour en savoir plus sur les nouveautés et les changements inclus à Firefox 127. Enfin, sachez que Mozilla a corrigé 15 failles de sécurité dans Firefox 127. Cette nouvelle version est donc importante pour la sécurité de votre appareil.
Dans ce tutoriel, nous allons voir comment effectuer l'installation de Windows 11 24H2 sans compte Microsoft, c'est-à-dire via la création d'un compte local. Nous verrons comment effectuer cette manipulation sur deux éditions de Windows 11 : Pro et Famille, tout en sachant que ceci peut fonctionner aussi pour les autres éditions.
La version 24H2 de Windows 11, qui sera prochainement disponible, mais qu'il est possible de tester dès à présent, ne permet plus d'utiliser une astuce basée sur l'utilisation d'adresses bloquées par Microsoft. En effet, lors de l'utilisation d'une adresse e-mail telle que "[email protected]" ou encore "[email protected]" avec un mot de passe aléatoire, cela faisait planter l'assistant d'installation. Résultat, la création d'un compte local était proposée. Mais, ça, c'était avant car désormais cette astuce ne fonctionne plus : comment faire alors ? C'est ce que nous allons voir.
Ce qui est évoqué dans cet article fonctionne avec l'ensemble des versions de Windows 11.
Le seul et unique prérequis, c'est de disposer d'un support d'installation de Windows 11. En général, une clé USB bootable est utilisée pour installer Windows 11 sur une machine physique. Ce média d'installation peut être créé avec Rufus ou l'outil Media Creation Tool de Microsoft.
Pour télécharger une image ISO de Windows 11, rendez-vous sur le site officiel de Microsoft :
III. Installation de Windows 11 sans compte Microsoft
Selon l'édition de Windows 11 24H2 que vous installez, la procédure n'est pas la même : il y a une porte de sortie directe pour les éditions Pro, Enterprise et Education que nous n'avons pas avec l'édition Famille.
Ci-dessous, la partie de l'installation qui est commune à toutes les versions... Pour les spécificités, référencez-vous à la sous-partie de cet article qui vous concerne.
Important, avant de commencez, sachez que :
Si vous envisagez d'installer Windows 11 Pro, la machine peut être connectée au réseau (mais ce n'est pas obligatoire). Ceci n'empêchera pas d'utiliser un compte local.
Si vous envisagez d'installer Windows 11 Famille, ne connectez pas la machine au réseau, sinon Windows se montrera plus insistant...
Démarrez votre PC et "bootez" sur votre support d'installation. Puis, l'assistant d'installation de Windows 11 va se lancer.
Choisissez la langue et poursuivez... Laissez-vous guider pour les premières étapes, selon vos besoins.
Choisissez l'option d'installation nommée "Installer Windows 11" puis cochez la case afin de pouvoir continuer.
Par la suite, sélectionnez l'image que vous souhaitez installer, c'est-à-dire l'édition de Windows 11. Ceci dépend en fait de la licence dont vous disposez, mais aussi du contexte d'installation (à la maison, en entreprise, etc.). Peu importe l'édition, il y a une solution pour effectuer une installation sans compte Microsoft.
Ensuite, sélectionnez le disque sur lequel vous souhaitez installer Windows 11 24H2.
Enfin, cliquez sur le bouton "Installer" et patientez...
Au bout d'un moment, la machine va redémarrer automatiquement. Un nouvel assistant va s'afficher pour vous permettre de finaliser l'installation.
D'abord, commencez par nommer votre futur appareil Windows 11.
Pour la suite des événements, référez-vous à la partie de l'article qui vous concerne, car la manipulation est différente selon l'édition. Enfin, ce n'est pas tout à fait vrai parce que l'astuce pour l'édition Famille fonctionne avec toutes les éditions..
A. Windows 11 Pro 24H2
Lors de l'installation de Windows 11 Pro, il y a une étape nommée "Comment souhaitez-vous configurer cet appareil ?". Si vous souhaitez installer Windows 11 avec un compte local, choisissez impérativement "Configurer pour le travail ou l'école", même si c'est pour une utilisation personnelle.
L'assistant vous demande alors un compte Microsoft. Cliquez sur "Options de connexion" puis continuez.
Puis, cliquez sur "Joindre le domaine à la place".
Et là, l'assistant vous demande un nom d'utilisateur : il s'agit du nom du futur compte local pour votre PC Windows 11 ! Donc, indiquez un nom d'utilisateur et cliquez sur le bouton "Suivant".
Par la suite, vous devrez définir un mot de passe, ainsi que 3 réponses pour 3 questions de sécurité. Ceci est utile si vous oubliez votre mot de passe.
Voilà, le tour est joué ! Il ne vous reste plus qu'à finaliser l'installation de Windows 11 ! Vous aurez accès à votre compte local !
D'abord, pour rappel, il est important de ne pas connecter la machine au réseau afin d'avoir accès à cet écran.
Sur votre clavier, appuyez sur la combinaison de touches "MAJ + F10" pour faire apparaître une console "cmd.exe".
Puis, dans cette console, saisissez la commande suivante et appuyez sur "Entrée". La machine va redémarrer immédiatement.
OOBE\BYPASSNRO
Une fois que la machine aura redémarré, vous pourrez retourner jusqu'à la même étape où l'assistant évoque un problème de réseau. Néanmoins, cette fois-ci, un bouton supplémentaire est disponible : "Je n'ai pas Internet". Cliquez dessus.
Vous serez invité à indiquer un nom d'utilisateur. Il s'agit du nom de votre futur compte local, ce qui signifie que vous n'aurez pas à utiliser de compte Microsoft en ligne, ni même à créer un compte Microsoft ! Ensuite, poursuivez en suivant l'assistant.
Une fenêtre dissuasive avec l'erreur "OOBESETTINGSMULTIPAGE" va s'afficher à l'écran. Pas de panique, cliquez simplement sur le bouton "Réessayer" et vous allez pouvoir passer à la suite de l'installation.
Finalisez l'installation... Les prochaines étapes correspondent au processus classique d'installation du système d'exploitation Windows 11.
Quelques minutes plus tard, vous voici sur votre machine Windows 11 24H2 avec un compte utilisateur local. L'image ci-dessous montre bien qu'un compte local est utilisé.
Installation de Windows 11 24H2 avec un compte local
IV. Conclusion
En suivant ce tutoriel pas-à-pas, vous devriez être en mesure de faire l'installation de Windows 11 sans utiliser de compte Microsoft en ligne. Même si Microsoft cherche à limiter les portes de sortie, et souhaite clairement que nous utilisons un compte Microsoft, nous avons toujours la possibilité d'utiliser un compte local à l'heure actuelle.
Si vous avez une question, vous pouvez poster un commentaire sur cet article.
L'InMotion E20 appartient à la catégorie des véhicules électriques les plus compacts à l'heure actuelle : les gyroroues, appelés aussi gyropodes et monocycles électriques. Découvrez mon avis dans ce test de ce modèle qui s'adresse aussi aux débutants !
InMotion est une marque spécialisée dans les gyroroues mais également les trottinettes électriques. D'ailleurs, nous avions déjà présenté le modèle InMotion Climber dans un précédent test. La marque s'est fait une très bonne réputation sur le marché des gyroroues, et c'est justement leur nouveau modèle qui fait l'objet de cet article ! Au-delà de ses caractéristiques et son utilisation, ce qui va nous intéresser, c'est la connectivité mobile et l'application en elle-même.
Ci-dessous la fiche technique :
Motorisation : moteur de 450 watts (900 watts max)
Pneumatique : deux pneus de 14 pouces
Vitesse maximale : 20 km/h
Autonomie maximale : 30 km
Temps de charge : 3,5 heures (donnée constructeur)
Batterie de 240 Wh (5.2 Ah) avec 10 fonctions de protection (surtension, basses tensions, poussière, etc.)
Pente maximale : 15°
Indice de protection : IPX5
Poids : 13,5 kg
Charge supportée : 100 kg
Connectivité Android et iOS
Prix : 499 euros
La philosophie derrière l'InMotion E20 est la suivante : proposer un monocycle électrique pratique et facile à utiliser. La principale difficulté avec ce type d'équipement étant la gestion de l'équilibre. Ce modèle bénéficie d'un système d'auto-équilibrage.
II. Package, design, déballage
La boite de l'appareil sert aussi de colis pour le transport, donc on se retrouve avec un carton sans aucune indication sur le produit... InMotion n'a pas fait d'effort sur l'esthétique du packaging. La bonne nouvelle, c'est qu'à l'intérieur l'appareil est très bien protégé, d'une part avec des blocs de mousse très épais et d'autre part avec un plastique. C'est ce que nous retiendrons.
Alors, qu'avons-nous à l'intérieur du carton mis à part la gyroroue en elle-même ? Nous avons une notice en anglais/chinois, ainsi qu'un chargeur et deux câbles d'alimentation différents. L'un pour le marché européen et l'un pour le marché américain. InMotion n'a pas intégré de housse de protection pour l'appareil. En principe, un trolley est inclus avec ce modèle, mais il ne m'a pas été livré dans le cadre de ce test (manque de stock).
La coque principale est entièrement en plastique, tout comme la poignée supérieure et les repose-pieds (qui s'appuient sur une plaque métallique solide). L'appareil est majoritairement blanc avec quelques éléments en noir. De chaque côté, sur la partie supérieure, il y a d'épaisses mousses noires qui sont là pour le confort de l'utilisateur, car ils servent en quelque sorte de "repose-jambes" (utile lorsqu'il s'agit de tourner).
La partie avant est équipée d'un phare LED relativement puissant, tandis qu'il y a un « anneau » lumineux à l'arrière. C'est aussi à l'avant que se situe le bouton principal de l'appareil, que l'on utilise notamment pour l'allumer et l'arrêter, ainsi que 4 LEDs pour indiquer le niveau de batterie. L'appareil est assez large, ce qui s'explique en partie par la présence de deux roues.
Note : lors de la décélération de la gyroroue, la lumière située à l'arrière de l'appareil clignote automatiquement en rouge.
L'anneau noir présent de chaque côté de la coque est en fait transparent ! Il intègre des LED et l'application offre la possibilité de choisir la couleur et la vitesse de l'animation lumineuse.
Cette grande surface blanche présente de chaque côté de l'appareil sera l'occasion de laisser parler votre créativité en décorant la gyroroue avec des stickers. Ce sera aussi l'occasion de rendre l'appareil plus élégant !
À l'arrière, nous retrouvons le connecteur pour recharger la batterie. Il est correctement protégé de l'humidité. Juste au-dessus, se situe le haut-parleur de la gyroroue : il est utilisé par la synthèse vocale de l'appareil, ainsi que pour émettre des bips d'avertissement et déclencher l'alarme de l'appareil. Par exemple, un bip va retentir lorsque l'appareil aura moins de 20% de batterie.
Bonus : le haut-parleur de l'InMotion E20 peut être utilisé pour lire n'importe quel flux audio à partir de votre smartphone ! Il suffit de coupler les deux appareils en Bluetooth.
Les deux roues côte à côte assure une bonne prise au sol et une meilleure stabilité, en comparaison d'un modèle avec une seule roue. D'ailleurs, ce n'est pas la première fois qu'InMotion propose un modèle avec deux roues. Il y a une dizaine d'années, c'était déjà le cas avec l'InMotion V3. Visiblement, InMotion souhaite réitérer cette expérience avec ce nouveau modèle.
Nos pieds doivent être positionnés sur des plateformes positionnées de chaque côté de l'appareil. Elles sont suffisamment grandes et larges pour accueillir des pieds d'adulte sans problème. Il y a aussi la possibilité de les replier lorsque la gyroroue n'est pas utilisée pour gagner de la place et faciliter le rangement de l'appareil. Ce produit reste compact (mais plus large qu'un modèle mono-roue) et il pourra facilement être transporté dans le coffre d'un véhicule. Voici ses dimensions exactes : 440 x 253 x 507 mm.
III. L'InMotion E20 en pratique
A. En piste !
Quand l'InMotion E20 est allumé, il tient en équilibre tout seul ! Ceci est possible grâce à la présence des deux roues, contrairement à la majorité des gyroroues qui ne sont dotés que d'une seule roue. C'est une différence notable, même si ce n'est pas le seul produit présent sur le marché à proposer ce système.
Malgré tout, lorsque l'on n'est pas habitué à piloter ce type d'engins, il faut un temps d'adaptation et un minimum d'entraînement avant d'être serein. La poignée est très pratique pour se mettre en position et prendre appuie, s'il n'y a rien à proximité pour nous aider. Malgré tout, c'est loin d'être évident : c'est un peu comme la première fois où l'on fait du vélo sans roulettes...
C'était ma première expérience avec une gyroroue. Il faut compter au moins une heure de pratique pour commencer à être un minimum à l'aise sur des voies simples. Il faudra beaucoup plus de temps pour avoir la maitrise totale, notamment pour tourner à faible vitesse. Une fois la maitrise de l'appareil, nul doute que c'est amusant à utiliser. Les plastiques semblent assez fragiles et la moindre petite chute ne pardonne pas : c'est de belles rayures superficielles directement sur la coque. J'en ai fait l'expérience.
Une fois élancé, c'est la gestuelle de votre corps qui fera le reste ! Le fait de pencher le haut du corps vers l'avant permet de faire avancer le véhicule et donc d'accélérer. À l'inverse, le fait de se pencher légèrement en arrière avec le haut du corps permet de contrôler la décélération.
Et pour tourner à droite ou à gauche alors ? Pour tourner à gauche, il faut déplacer le poids de son corps vers la gauche et "pencher" légèrement vers la gauche. Le principe est le même pour tourner à droite. Vous l'aurez compris, la direction est ajustée en fonction de la posture de votre corps.
L'application, qui sera présentée par la suite, sert à choisir le mode de conduite. Avec le mode débutant, qui me va très bien, la vitesse est de 7 km/h. Néanmoins, la gyroroue ne limite pas elle-même la vitesse : si vous dépassez la limite, un bip est émis chaque seconde, jusqu'à ce que vous ralentissiez. De plus, pendant cette phase où vous êtes en excès de vitesse vis-à-vis du mode choisit, la gyroroue oriente les repose-pieds vers l'arrière pour nous forcer à décélérer tout en gardant l'équilibre. Preuve qu'il n'y a pas de bride, en mode débutant, je suis parvenu à atteindre la vitesse de 23.4 km/h.
Note : l'InMotion E20 est équipé de deux pneus de 14 pouces capable de franchir les dos d'âne et les petites bordures de quelques centimètres, ce qui est très pratique en centre-ville. Néanmoins, ce modèle n'est pas adapté pour le tout-terrain.
Son autonomie de 30 km maximale en une seule charge est à prendre en considérations selon l'usage que vous souhaitez faire de l'InMotion E20. C'est suffisant pour de nombreux scénarios d'usage au quotidien, mais tout dépend de votre situation personnelle. À mon avis, il lui manque une béquille afin de pouvoir être maintenue à la verticale lorsqu'elle est éteinte ou en charge. Dommage.
En complément, vous pouvez regarder cette vidéo de mise en route qui explique bien comment utiliser la gyroroue :
B. L'application InMotion
La configuration et la gestion de l'InMotion E20 s'effectue à partir de l'application officielle de la marque. Disponible sur Android et iOS, elle implique la création d'un compte utilisateur qui servira à contrôler un ou plusieurs véhicules de la marque. Ceci joue un rôle important, car c'est dans l'application que vous allez pouvoir vous déclarer comme propriétaire de la gyroroue. Ainsi, il n'y a qu'à partir de votre compte qu'il est possible de contrôler l'InMotion E20.
Comme le montre les images ci-dessous, l'application sera également utile pour mettre à jour le firmware de la gyroroue.
L'application InMotion m'avait peu convaincue lors de mes précédents tests de trottinettes électriques. Mais, apparemment, la marque a travaillé sur ce point, car l'expérience proposée est beaucoup plus agréable. On ne va pas s'en plaindre. De plus, l'application semble stable et ne pas comporter de bugs même si la traduction reste à améliorer.
L'application est votre centre de contrôle pour configurer la gyroroue, mais aussi avoir un aperçu sur l'autonomie de la batterie (avec une estimation du nombre de kilomètres) et suivre le kilométrage effectué.
Statistiques sur l'utilisation : temps d'utilisation, distance parcourue lors de la dernière session, distance totale parcourue, vitesse maximale.
Verrouillage et déverrouillage de la gyroroue à distance, avec possibilité de déclencher l'alarme.
Activation et désactivation de l'éclairage.
État général de la trottinette (numéro de série, modèle, date d'activation, version du firmware, kilométrage).
Réglages du mode de conduite : débutant (7 km/h), normal (15 km/h) et sport (20 km/h).
Réglages de la sensibilité des pédales, de l'angle d'équilibre, le mode veille (au bout de X minutes), ainsi que les effets de lumière.
Le tableau de bord est personnalisable puisqu'il est possible d'ajouter ou de supprimer des widgets.
IV. Conclusion
Il est temps de faire un bilan de cette expérience ! Je m'attendais à une prise en main plus simple et plus rapide, mais c'est surement mon manque d'expérience avec les monocycles électriques qui me fait défaut. Il est certain qu'un temps d'adaptation est nécessaire et les accessoires de protection sont indispensables pour la sécurité du pilote.
Malgré tout, l'InMotion E20 se contrôle facilement sur les routes stables et non sinueuses, car une fois que l'on est en place, l'équilibre est très facile à gérer. Nous pouvons remercier les deux roues présentes sur le monocycle. La principale difficulté, ce sont les virages. Et là, je ne suis pas sûr qu'avoir deux roues, ce soit un avantage car cela oblige à "écraser" la roue située du côté où l'on veut tourner.
La version de l'application InMotion utilisée à l'occasion de ce test, et disponible sur Android et iOS via les stores respectifs, est stable et complète. Elle offre un contrôle complet sur l'appareil et donne des statistiques d'utilisation précises.
Pour 499 euros, ce monocycle électrique est abordable et pourrait bien aider à la démocratisation de cette pratique. C'est un prix très intéressant en comparaison d'autres modèles présents sur le marché (parfois, le tarif est de plusieurs milliers d'euros). Pour une première expérience en monocycle, c'est un bon choix.
Pour en savoir plus ou acheter l'InMotion E20, voici deux liens utiles :
Le Geekom A8, c'est le nouveau fleuron de chez Geekom équipé d'un processeur AMD Ryzen 8845HS ou 8945HS selon le modèle, d'un NPU pour l'IA et de 32 Go de RAM. C'est loin d'être ses seuls atouts ! Lisez la suite de ce test pour en savoir plus.
Cet article va présenter ce modèle dans sa globalité, en commençant par les caractéristiques, le design et la qualité du boitier. Puis, nous parlerons des possibilités d'évolution et des performances de ce Mini PC.
Rappel : sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taïwan. En complément, la marque a plusieurs succursales dans différents pays du monde.
Commençons par découvrir les caractéristiques principales de ce modèle :
Processeur : AMD Ryzen 9-8945HS (8 Cœurs, 16 Threads, 8 Mo de cache L2, 16 Mo de cache L3, cadencé à 4 GHz de base, boost jusqu'à 5,20 GHz)
GPU : AMD Radeon 780M
NPU : AMD Ryzen AI Jusqu'à 16 TOPS
RAM : 32 Go DDR5 262PIN 5600 MHz, extensible jusqu'à 64 Go
Stockage : 2 To de SSD NVMe (Gen.4*4)
Connectique : 4 x ports USB 3.2 Gen 2 (dont un Type-C) + 1 x port USB 2.0 + 1 x port USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
Affichage : prise en charge jusqu'à 4 écrans avec prise en charge du 8K
WiFi 6E (AX211), Bluetooth 5.2
Alimentation : 19V, 6,32A DC - 120W
Poids : 550 grammes
Dimensions (L x W x H) : 112 * 112 * 38 mm
Système d'exploitation : Windows 11 Pro
Garantie : 3 ans
Le Geekom A8 se décline en deux versions. Une première version avec un processeur AMD Ryzen 7-8845HS épaulé par 32 Go de RAM et 1 To de stockage. Une seconde version avec un processeur AMD Ryzen 9-8945HS accompagné par 32 Go de RAM et 2 To de stockage, qui est celle présentée dans cet article. Très puissant, ce CPU est utilisé sur certains modèles d'ordinateurs portables gaming (chez HP, Acer, Asus, Razer, etc.) où il est associé avec une carte graphique dédiée.
Ce processeur a été lancé sur le marché par AMD en décembre 2023, il s'agit donc d'un modèle très récent. Il est important de noter qu'il intègre un NPU, c'est-à-dire une unité de traitement neuronal, parfaitement adaptée aux nouveaux usages puisqu'elle va permettre d'améliorer les performances pour les traitements liés à l'IA.
Cet ordinateur, compte tenu de ses caractéristiques, semble correspondre à ce que Microsoft appelle un PC Copilot+c'est-à-dire une machine avec au moins 16 Go de RAM, 256 Go de stockage en SSD, et surtout un NPU. Mais, pour le moment, tout ça est encore trop récent pour se prononcer.
III. Package et design
L'emballage est soigné puisque la boite du mini PC est protégée par un blister. Elle nous donne un vague aperçu du design du PC, donc il sera nécessaire d'ouvrir la boite pour le découvrir. Cela tombe bien, c'est le premier élément que l'on aperçoit en l'ouvrant. Placé au centre et bien calé, il est en quelque sorte isolé vis-à-vis des chocs qu'il pourrait y avoir sur la boite. Après l'avoir retiré, nous retrouvons l'ensemble des accessoires.
Qu'avons-nous dans la boite ? Au-delà d'avoir un Mini PC A8, il y a aussi un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice et une lettre de remerciement pour l'achat. Disons que c'est le package habituel chez Geekom.
Le Geekom A8 est doté d'un boîtier aluminium aux coins arrondis et d'une finition mate anodisée, ce qui lui confère une allure très élégante. Le boitier est extrêmement qualitatif, il est sublime ! Encore un niveau au-dessus en comparaison du boitier du modèle XT12 Pro qui est déjà excellente. Au passage, ce mini PC me fait penser au Mac mini à la différence que le boitier de Geekom est plus compact et plus léger.
Remarque : au-delà de l'esthétique, ce boitier aluminium va également jouer un rôle clé pour la dissipation thermique du boitier.
En termes d'encombrement, le boitier du Geekom A8 tient dans la paume de ma main ! Il n'aura aucun mal à se faire une place sur un bureau, ou éventuellement derrière un écran grâce au support VESA.
Regardons de plus près la conception de ce boitier et sa connectique. D'ailleurs, la connectique est identique entre différents modèles de chez Geekom.
Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Une prise casque et un bouton Power lumineux complète la façade. Le côté droit du boitier et le côté gauche du boitier contiennent une aération parfaitement incrustée à la coque, afin de faciliter le flux d'air entrant. Sur le côté gauche, nous avons en complément un lecteur de carte SD.
L'essentiel de la connectique se situe à l'arrière du boitier. Les différents connecteurs sont assez serrés puisque sur cet espace, nous avons : un port USB4 au format USB-C avec PowerDelivery (débit théorique de l'USB4 : 40 Gbps) ainsi qu'un autre port USB-C, mais en USB 3.2 Gen 2, contrairement au modèle XT12 Pro qui a le droit à 2 ports USB4. Il y a un autre port USB 3.2 Gen 2, mais avec un connecteur type A. Et, ce n'est pas fini, car il y a aussi un port USB 2.0, soit un total de 6 ports USB. En complément, il y a les deux ports HDMI 2.0 et le port RJ45 2.5 GbE.
L'extraction de l'air chaud s'effectue par l'arrière du boitier grâce à une aération positionnée au-dessus de l'ensemble de la connectique de la carte mère. La technologie de refroidissement IceBlast 1.5 de Geekom équipe ce boitier. Le fabricant promet un flux d'air élevé pour un faible bruit.
À titre de comparaison, ce boitier est nettement moins épais et plus compact que celui du modèle Geekom IT13.
Une inscription "GEEKOM" brillante, mais discrète est présente sur le dessus du boitier. En dessous, nous avons une étiquette avec diverses informations (modèle, adresse MAC, numéro de série, etc.). Vous cherchez les vis pour ouvrir le boitier ? Sachez qu'elles sont logées sous les patins. Ce n'est pas très pratique, mais esthétique. Les patins peuvent être retirés et remis en place sans difficultés.
La vue éclatée ci-dessous montre bien que le boitier est constitué d'une coque unique en aluminium accompagnée par une plaque en plastique pour le dessous du boitier.
Jetons un coup d'oeil aux composants présents à l'intérieur du boitier... Ce sera l'occasion de voir le type de SSD et de RAM.
Un SSD NVMe de marque ACER, avec la référence N5000CN-2TB, d'une capacité de 2 To (pour lequel je ne suis pas parvenu à trouver d'informations supplémentaires). Un pad thermique a été positionné sur le SSD, par Geekom. Il s'agit du même modèle que celui utilisé pour le mini PC Geekom IT13.
Deux barrettes de RAM de marque Crucial : 16 Go DDR5-5600 Mhz. Soit 32 Go au total, extensible jusqu'à 64 Go de RAM. Comme nous le constatons, les deux slots sont occupés.
Les composants sont facilement identifiables, et l'ouverture du boitier est une tâche à la portée de tout le monde.
IV. Évolutivité et performances
A. Mise en route et évolutivité
Mettons en route le mini PC A8 de chez Geekom ! Le BIOS AMI de la machine est très basique et offre peu d'options de configuration. Cela se limite à la configuration du Secure Boot, des options de démarrage (ordre, démarrage rapide, etc.) et la mise en place d'un mot de passe. Rassurez-vous, il prend bien en charge la virtualisation.
La première chose à effectuer après avoir branché les périphériques, c'est finir l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.
À première vue, il s'agit d'une image officielle de Windows 11 Pro qui n'a pas été personnalisée par Geekom. Nous retrouvons uniquement les applications natives ajoutées par Microsoft, ainsi qu'une application AMD qui sera évoquée par la suite.
Le mini-PC est livré avec 32 Go de RAM en DDR5, mais une mise à niveau est possible jusqu'à 64 Go. Cela veut dire que nous pouvons doubler la RAM actuellement présente dans le mini PC ! Mais, attention, il sera nécessaire de remplacer les deux barrettes de RAM actuelles par de nouvelles barrettes de 32 Go chacune.
Voici des détails techniques obtenus avec le logiciel CPU-Z :
Vous pouvez connecter jusqu'à 4 écrans sur ce mini PC en utilisant les ports suivants :
1 port USB3.2 Gen2 Type-C : affichage 4K @ 30Hz
1 x USB4 Type-C : affichage 8K @ 30 Hz
2 x HDMI 2.0 : 4K @ 60 Hz
Comme je l'ai déjà évoqué précédemment, il est possible d'augmenter la RAM pour passer de 32 Go à 64 Go. Néanmoins, il n'est pas possible d'ajouter un disque supplémentaire. La seule évolution possible pour le stockage, c'est l'ajout d'une carte SD.
B. Performances
Ce mini PC sublime est-il performant ? Rappelons qu'il est propulsé par un processeur AMD Ryzen 9-8945HS. Un modèle avec 8 cœurs et 16 threads, avec une fréquence de base de 4 GHz.
Commençons par mesurer les performances du disque SSD NVMe intégré à l'ordinateur.
Les performances de ce disque SSD NVMe Acer sont excellentes ! Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.82 Go/s ! En 56 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go ! Il s'agit d'un résultat identique à celui obtenu avec le même test effectué sur le Geekom IT13.
Voici un benchmark du disque effectué avec Crystal Disk Mark :
CrystalDiskInfo
Voici une analyse CrystalDiskInfo du disque SSD NVMe ACER N5000 monté en PCIe 4.0 x4.
Geekbench
J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :
Ce mini PC répond très bien aux sollicitations. Quand le PC est démarré, la température du CPU est de 42°C dans une pièce où il fait près de 25°C, d'après HWMonitor. Lors d'un test de CPU, la température du CPU monte à 92°C sans que la machine chauffe énormément. C'est rassurant.
Configuration du GPU
L'application "AMD Software: Adrenalin Edition" est préinstallée sur l'ordinateur. Au-delà de faciliter le suivi des mises à jour des pilotes, elle est là pour optimiser la configuration des options graphiques lorsque le mini PC est utilisé pour jouer. Après avoir utilisé GTA V, le jeu a été détecté et dispose de son propre profil dans l'application.
Que peut-on faire et ne pas faire avec ce modèle ?
Ce qui me vient à l'esprit au moment de répondre à cette question, c'est un mot : polyvalence. Ce mini PC est très à l'aise avec la bureautique, avec le montage photo et le montage vidéo (1080p, sans problème), et il peut aussi être utilisé pour jouer de façon raisonnable. De plus, vous pouvez installer un hyperviseur dessus (Proxmox, Hyper-V, etc...) pour créer votre plateforme de virtualisation et faire vos tests. Avec son CPU solide, son espace de stockage confortable et ses 32 Go de RAM, il y a de quoi faire ! Et si cela ne suffit pas, n'oubliez pas que l'on peut passer sur 64 Go de RAM.
Pour la partie jeux-vidéos, j'ai testé GTA V. La qualité d'image est bonne et le jeu est très fluide, bien que certains effets visuels soient désactivés. L'iGPU intégré à ce processeur AMD est plus performant que l'iGPU Intel Iris Xe de l'Intel Core i9 ! Le rendu est meilleur sur ce même jeu.
Voici un aperçu avec deux copies d'écran :
V. Conclusion
Le mini PC Geekom A8 m'a totalement convaincu, tant au niveau de son esthétique que de ses performances ! L'AMD Ryzen 9 est un excellent processeur et le fait qu'il soit couplé à 32 Go de RAM et un SSD NVMe performant, font de ce mini PC une machine polyvalente. Pour le moment, je vais continuer à l'utiliser encore un peu plus en tant que serveur Hyper-V. Le seul point négatif, notamment vis-à-vis d'autres modèles de chez Geekom, c'est qu'il n'est pas possible d'ajouter un second disque.
Le Geekom A8 dans la version est proposé à 930,00 euros. Un tel prix est logique compte tenu de la qualité du matériel et de la configuration proposée dans un format aussi compact, qui plus est associé à une garantie de 3 ans. C'est un mini PC haut de gamme.
Offre spéciale sur le Geekom A8
Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, grâce aux liens et aux codes ci-dessous.
Dans ce tutoriel, nous allons voir comment bloquer les ports USB d’un poste de travail Windows pour empêcher un utilisateur de connecter des périphériques de stockage USB : clés USB, disques durs externes USB, etc... !
La restriction configurée dans cet article s'appliquera à un utilisateur, sur l'ordinateur auquel l'utilisateur a l’habitude de se connecter. La configuration sera effectuée via une stratégie de groupe locale, avec la console Microsoft Management Console (MMC) de Windows !
Pour un besoin de sécurité ou de confidentialité, le propriétaire ou le responsable d'un poste de travail ou d'un serveur, peut vous solliciter afin de bloquer l'accès à tout périphérique de stockage USB sur une machine. Nous pouvons citer plusieurs raisons : se protéger contre les éventuels virus pouvant s'exécuter suite à l'exécution d'un fichier, se protéger contre le vol de données de l'entreprise ou données personnelles, etc.
Cependant, si cette machine n’est pas sous l’autorité d’un contrôleur de domaine Active Directory (le propriétaire des lieux n’ayant certainement pas les moyens de s’en offrir, n'en a pas le besoin, ou n’y ayant certainement pas pensé) : comment faire pour y parvenir ?
Eh bien, nous allons répondre à cette problématique dans ce tutoriel ! Si vous travaillez en environnement Active Directory, vous pouvez consulter ce tutoriel :
Remarque : la méthode présentée dans ce tutoriel fonctionne sur les différentes versions de Windows, y compris Windows 10 et Windows 11. Elle fonctionne sur toutes les éditions, sauf Famille / Home (ceci implique des manipulations supplémentaires).
II. Mise en oeuvre des restrictions
A. Prérequis
D’abord, on crée un compte Administrateur local protégé par mot de passe sur le poste de travail (seul compte autorisé à exécuter des tâches d’administration sur le poste). Ensuite, on crée un compte utilisateur local (protégé ou pas en fonction de la demande du propriétaire du poste) et on met ce compte dans le groupe local "Utilisateurs".
Pour cet exercice, l’administrateur du poste de travail s’appellera "Admin", et l’utilisateur s’appellera "Consultation2a". N’oubliez pas de les remplacer à chaque fois par des noms d’utilisateurs qui sont propres à votre environnement.
Commençons par brancher le périphérique sur l'un des ports USB du poste de travail pour être sûr qu’on y a effectivement accès pour le moment, avant d’engager les opérations de restriction.
Accès au stockage USB avant la mise en place des restrictions, depuis le compte utilisateur :
Accès au stockage USB avant la mise en place des restrictions, depuis le compte Admin :
B. Blocage des ports USB pour le compte utilisateur (non-administrateur)
On se connecte ensuite avec le compte Admin, on ouvre la MMC par la barre de recherche du menu Démarrer de Windows. Sinon, l'alternative consiste à utiliser le raccourci clavier « Windows + R » afin de saisir « mmc » dans la fenêtre Exécuter. Puis, on valide avec « oui ».
Une fois la console ouverte, on clique sur « Fichier » puis sur «Ajouter/Supprimer un composant logiciel enfichable ».
Ensuite, on clique sur « Éditeur d’objet de stratégie de groupe », puis sur « Ajouter ».
Une nouvelle fenêtre s’ouvre et on poursuit en cliquant sur « Parcourir ».
Ici, on sélectionne l’utilisateur à restreindre par la stratégie (ici "Consultation2a") et on valide. Autrement dit, sélectionnez l'utilisateur qui ne doit pas pouvoir connecter de clés USB, disques externes, etc... sur la machine.
Une fois l’utilisateur sélectionné, on revient à la fenêtre précédente et on clique sur « Terminer ».
Enfin, on valide la stratégie.
On retourne à la fenêtre principale de la MMC pour démarrer la configuration de la stratégie comme suit :
Stratégie Ordinateur local/Consultation2a > Configuration utilisateur > Modèles d’administration > Système > Accès au stockage amovible
On peut désormais apercevoir les paramètres « Disques amovibles : refuser l’accès en lecture » et « Disques amovibles : refuser l’accès en écriture ».
On double-clique tour à tour sur les deux paramètres suscités pour les activer, puis valider comme sur les captures d’écran ci-dessous.
Nous bloquons l'accès en lecture :
Ainsi que l'accès en écriture :
Une fois terminé, on enregistre la stratégie sous un emplacement au choix et bien sûr sécurisé pour une utilisation ultérieure, au besoin.
Désormais, on doit tester la stratégie ! Donc, on applique la GPOvia une console CMD en exécutant la fameuse commande « gpupdate/force ».
C. Test de fonctionnement.
Une fois la stratégie appliquée, on voit qu’on a toujours accès aux dossiers et fichiers de la clé USB branchée sur le poste de travail lorsqu’on est connecté avec le compte Administrateur (Admin).
Ce qui n’est cependant plus le cas une fois qu’on est connecté à l’aide du compte utilisateur standard (Consultation2a). On peut le voir à travers le message d’erreur « G:\ n’est pas accessible, Accès refusé ». La restriction s'applique correctement !
III. Conclusion
On vient de voir comment bloquer l’accès (Lecture/Écriture) à un stockage USB à un utilisateur précis sur un poste de travail Windows multi-utilisateurs ! Nous avons atteint notre objectif grâce à la configuration de la stratégie de groupe locale, par l'intermédiaire de la console MMC (Microsoft Management Console) de Microsoft.
Cette solution est pratique pour des restrictions de sécurité lorsqu’on n’a pas assez de moyen pour s’installer un contrôleur de Domaine Active Directory sous Windows Server. Ceci est utile aussi sur un poste de travail isolé.
Cependant, elle est accessible par défaut sur les éditions actuellement sous le support de Windows en édition Professionnel et Enterprise (Windows 10 et Windows 11). Pour le cas de l’édition Familiale, par exemple, il faudra encore activer des paramètres supplémentaires pour avoir accès aux GPO (car la fonction n'est pas disponible nativement).
Un chercheur en sécurité a publié un exploit PoC pour la vulnérabilité CVE-2024-29855 présente dans Veeam Recovery Orchestrator ! En l'exploitant, un attaquant peut outrepasser l'authentification et devenir administrateur ! Faisons le point.
Associée à la référence CVE-2024-29855, cette faille de sécurité critique affecte la solution Veeam Recovery Orchestrator. Intégrée à la solution Veeam Data Platform, cette application sert à faciliter la restauration d'une infrastructure grâce à l'orchestration de tout le processus de restauration.
En exploitant cette vulnérabilité, un attaquant peut outrepasser l'authentification et accéder à l'interface Web de Veeam Recovery Orchestrator (VRO) avec des privilèges d'administrateur. Néanmoins, il y a un prérequis à respecter, comme l'explique Veeam dans son bulletin de sécurité publié le 10 juin 2024 : "L'attaquant doit connaître le nom d'utilisateur et le rôle exacts d'un compte disposant d'un jeton d'accès actif à l'interface Web de VRO pour réaliser le hijacking du compte."
Cette faiblesse est liée à un secret JSON codé en dur qui offre l'opportunité aux attaquants de générer des jetons JWT valides, pour n'importe quel utilisateur existant sur la plateforme, y compris les administrateurs.
Pour vous protéger de cette faille, vous devez utiliser l'une de ces versions (ou une future version supérieure) :
Bien qu'il soit nécessaire de connaître le nom d'utilisateur et le rôle exact de ce dernier pour exploiter la vulnérabilité, le rapport de Sina Kheirkha montre qu'il n'y a que 5 rôles différents. Voici la liste des rôles : DRSiteAdmin, DRPlanAuthor, DRPlanOperator, et SiteSetupOperator. De ce fait, le script d'exploitation va prendre un nom d'utilisateur et itérer sur la liste des rôles afin de rechercher une correspondance.
Source : Sina Kheirkha
Il donne également sa méthode pour tenter d'identifier un nom d'utilisateur valide : "Tout d'abord, le problème de "connaître le nom d'utilisateur" peut être résolu "en quelque sorte" avec la solution suivante, en supposant qu'il existe un utilisateur nommé [email protected], on peut trouver le nom de domaine en regardant le fichier CN du certificat SSL et le nom d'utilisateur peut être sprayed (attaque par pulvérisation), ce qui est un peu boiteux, mais c'est ce que nous avons pour l'instant.
L'exploit PoC étant désormais disponible et accessible à tous, la faille de sécurité CVE-2024-29855 est susceptible d'être exploitée par les cybercriminels dans le cadre d'attaques.
Il y a quelques jours, unexploit PoC pour la CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a été publiée par ce même chercheur en sécurité.
Microsoft a pris la décision de supprimer la fonction Copilot GPT Builderaccessible aux utilisateurs qui ont souscrit à un abonnement Copilot Pro. L'IA de Microsoft va donc perdre une fonctionnalité importante ! Faisons le point.
Au sein de Microsoft Copilot, la fonctionnalité "GPT Copilot" permet à l'utilisateur de créer son IA personnalisée, ou son GPT personnalisé. Cette fonction permet de configurer le chatbot pour qu'il réponde à vos sollicitations en fonction d'un contexte spécifique ou de consignes que vous lui donnez, sans avoir à les répéter à chaque fois.
Dans un e-mail envoyé à ses abonnés, Microsoft a annoncé vouloir supprimer cette fonctionnalité et c'est un changement qui sera effectif dans moins d'un mois : "Nous allons supprimer Copilot GPT Builder de Copilot Pro à partir du 10 juillet 2024.", peut-on lire.
Non seulement il ne sera plus possible de créer de nouveaux GPT personnalisés, mais il sera plus possible non plus d'utiliser ceux déjà existants. Microsoft précise que vous pouvez effectuer une sauvegarde de la configuration de vos GPT : "Si vous avez créé des GPT Copilot, vous pouvez enregistrer ces instructions personnalisées."
Ce changement peut surprendre : la fonctionnalité est présente depuis seulement quelques mois et c'est l'un des avantages offerts à ceux qui disposent d'un abonnement Copilot Pro. Décidément, tout va très vite dans le domaine de l'IA. Pour se justifier, Microsoft explique vouloir se concentrer sur "différentes fonctionnalités basées sur l’IA qui améliorent Copilot Pro.", sans donner plus de précisions. L'entreprise américaine va certainement se concentrer sur l'intégration de Copilot avec Office, Windows et ses autres services, plutôt que sur le chatbot en lui-même. Une page de support avec une FAQ a été publiée suite à cette annonce.
À partir du 10 juillet 2024, le principal avantage de l'abonnement Copilot Pro, c'est de permettre d'utiliser Copilot dans les applications Office. Le prix de l'abonnement devrait rester à 22 euros par mois, même si une fonction importante est sur le point de disparaître.
Dans cet article, je vous propose un ensemble d'outils et de ressources permettant d'évaluer et de tester la sécurité de votre système d'information. Mon objectif de fournir aux administrateurs système les principaux outils que je juge utiles et techniquement abordablespour réaliser cette tâche.
L'objectif de sécurisation de son système d'information peut paraitre abstrait ou lointain lorsque l'on ne se frotte pas quotidiennement à la cybersécurité, qui est devenue un métier à part entière de l'informatique au sens général. Néanmoins, chaque acteur du système d'information a son rôle à jouer au sujet de la cybersécurité, de manière plus ou moins forcée en fonction des budgets, tailles d'équipe ou autres contraintes spécifiques à chaque cas et entreprise.
L'idée de cet article est de vous fournir les premiers éléments de réponse et options à suivre pour vous lancer sur ce chemin, notamment si vous souhaitez ou devez ajouter une corde "cybersécurité" à votre arc sans pour autant devenir un expert à plein temps sur le sujet.
La connaissance de ces outils et ressources présentées dans cet article n'est, en soit, pas suffisante pour la réalisation d'un test d'intrusion ou d'une opération red team en bonne et due forme. En revanche, ceux-ci sont tout à fait maitrisables pour des administrateurs systèmes et réseau, et, utilisés de manière relativement standard, pourront déjà permettre de détecter et de corriger les vulnérabilités les plus visibles d'un système d'information.
Cette liste contient uniquement des outils gratuits ou utilisés dans leur version gratuite, pour plusieurs raisons, la principale étant la volonté de partager des solutions utiles et utilisables par tous.
II. Disclaimer
Quel que soit l'outil dont il est question, il est important d'être au fait qu'une simple exécution occasionnelle sans analyse précise ou capacité à interpréter les résultats ne sert à rien. Soyez bien clair sur plusieurs points :
Avant d'utiliser n'importe lequel de ces outils, il faut être certains de comprendre ce pour quoi il est fait, ce qu'il est capable de détecter, voire d'exploiter, et quelles sont ses limites (faux positifs, périmètre d'action). S'il y a une quelconque incompréhension de votre part concernant la description de l'outil et son fonctionnement global, c'est qu'il n'est pas encore temps de l'utiliser en conditions réelles.
Il est aussi important d'être capable d'interpréter les résultats de chacun de ces outils afin de comprendre ce qui est urgent, ce qui est incertain, ce qui est secondaire, etc. À ce titre, il faut être conscient de ses propres limites quant à leur utilisation et l'interprétation de leur résultat.
L'utilisation de ces outils peut ainsi être un premier pas vers une phase de diagnostic ou de contrôle routinier de la sécurité du système d'information. Cependant, elle ne peut pas être un substitut à l'analyse d'un expert en cybersécurité, qu'il soit interne ou externe à l'entreprise. Par exemple, l'utilisation avec les options "standard" ou "par défaut" peut vous faire passer à côté d'une vulnérabilité qui ne serait détectable qu'à travers une analyse approfondie, ou l'utilisation d'options plus avancées.
Il est donc important d'être en phase avec ces différents points pour éviter d'avoir un faux sentiment de sécurité. Cet avertissement étant fait, nous pouvons passer à la suite !
III. Ma liste d'outils pour sécuriser son SI en tant qu'administrateur système
A. Scan réseau : nmap
nmap est la référence absolue des outils de scan réseau ! Il permet d'effectuer une reconnaissance et une cartographie du système d'information en découvrant les hôtes accessibles sur un réseau local ou distant ainsi que les services exposés. À ce titre, il permet également d'effectuer une analyse de cloisonnement pouvant exister entre deux réseaux en évaluant de manière pragmatique l'efficacité et l'exhaustivité d'une politique de filtrage.
L'utilisation de nmap peut donc permettre de voir si un hôte situé sur un réseau peut accéder aux services d'un autre hôte du réseau local ou sur un réseau distant. Voici, en exemple, une commande classique d'utilisation de nmap et les résultats d'un scan sur un hôte unique, visant à découvrir les services exposés et procéder à des premières actions d'énumération sur ceux-ci :
Utilisation classique et résultat d'un scan réseau nmap effectué sur un hôte du réseau.
On retrouve notamment différentes colonnes indiquant, dans l'ordre : le protocole et port scanné, son status (open/closed/filtered), le service correspondant et une éventuelle bannière indiquant la technologie utilisée et sa version lorsque les scripts nmap ont réussi à les identifier avec précision.
En plus de ces fonctionnalités principales, nmap possèdent également de nombreux modules sous forme de scripts qui permettent de détecter les types de services exposés (est-ce un service web, un service SSH ou RDP ? etc...), mais également leur version. Ces scripts, écrits en LUA et utilisables tels quels, permettent également d'effectuer un scan de vulnérabilité élémentaire, par exemple, en relevant la présence d'une version obsolète, d'une authentification anonyme ou la présence d'une configuration particulière vulnérable.
De manière élémentaire, nmap peut aider à répondre aux questions suivantes :
Pour un poste situé dans le réseau "utilisateur", combien de systèmes et services de mon système d'information lui sont accessibles ?
La politique de filtrage et de cloisonnement que j'ai définie est-elle implémentée telle qu'attendu ?
Si un attaquant prend le contrôle d'un poste de l'équipe RH, peut-il directement joindre mon serveur de sauvegarde ?
Existe-t-il des services exposés sur le réseau "serveurs" qui ne sont pas à jour ?
Y-a-t-il sur mon réseau des services SMB ou FTP accessibles en authentification anonyme ?
Enfin, celui-ci nécessite forcément des connaissances en systèmes et en réseau. C'est notamment le cas lorsqu'il s'agit de tester la bonne application d'une politique de filtrage réseau ou d'identifier les services exposés grâce à leur port (TCP/UDP). La sortie qu'il produit peut dans un premier temps paraitre non intuitive, mais le résultat est en fait assez claire, si l'on prend la peine de s'y familiariser.
Nuclei fait partie de mes outils préférés lorsqu'il s'agit de faire des scans web automatisés et de dégrossir l'analyse d'un grand nombre de cibles, principalement parce que j'apprécie son fonctionnement modulaire et le développement communautaire de ses templates de test. Il s'agit d'un scanner utilisant des modules écrit en Yaml écrit par la communauté.
Il est très simple d'utilisation et plutôt efficace. Son objectif est de vous permettre de scanner un ou plusieurs sites en effectuant un grand nombre de tests qui sont clairement définis. Ces tests, sous forme de module donc, sont majoritairement orientés autour :
de la détection de version et la présence de logiciels, plugins ou dépendances obsolètes.
de la présence de défaut de configuration, tels que le Directory Listing, l'absence d'options de sécurité sur les cookies, l'absence d'en-tête de sécurité au niveau du service web, etc.
la recherche de fichiers sensibles qui ne devraient pas être exposés, comme un fichier "docker-composer.yml" contenant un mot de passe, un fichier "phpinfo()", etc.
la découverte de CVE reposant sur des éléments de détection simples.
Voici un exemple d'utilisation de nuclei, qui peut aussi bien prendre en entrée un site web qu'un fichier contenant plusieurs centaines de domaines :
# Scanner un site web
nuclei -u https://www.monsiteweb.fr
# Scan les URL/domaine inscrits dans un fichier
nuclei --list /tmp/url.txt
Nuclei va faire une analyse en utilisant ses modules (appelés templates). Nous pouvons spécifier ceux que nous souhaitons utiliser via les options, ou laisser nuclei les choisir automatiquement en fonction de ses découvertes. Si nuclei détecte les traces du CMS WordPress, il va automatiquement exécuter tous les modules portant le tag "wordpress".
Voici un exemple d'utilisation d'un module. Nous souhaitons effectuer une vérification très précise sur toutes nos applications web exposées, en recherchant l'exposition d'un "PhpMyAdmin" :
C'est cette possibilité de pouvoir sélectionner précisément un test ou catégorie de test sur un site précis ou un grand ensemble de site qui le rend très pratique d'utilisation. Voici, par exemple, le cas d'utilisation de toute une catégorie de template permettant de rechercher les technologies à partir du contenu des pages web et des bannières. On spécifie ici une catégorie qui contient plus de 300 modules :
Utilisation des templates nuclei de découverte des techonologies sur plusieurs cibles.
Au delà des simples découvertes de bannières ou de fichiers, certaines catégories de modules sont orientées sur la découverte de CVE, voici un exemple :
Contenu d'un template nuclei visant à découvrir la CVE-2021-22205 sur un Gitlab.
Vous pourrez en apprendre plus sur les templates de test nuclei simplement en parcourant leur configuration Yaml : Github - Nuclei-templates
Il faut cependant être conscient de la limite des scans automatisés : ceux-ci sont très surfaciques et permettent uniquement de relever des vulnérabilités basiques. Ne vous attendez pas, par exemple, à découvrir une injection SQL ou un problème de cloisonnement des droits entre profils utilisateurs grâce à nuclei. Vous serez en revanche certain d'avoir des résultats et des éléments à corriger si vous exécutez ce genre de scan pour la première fois sur un SI qui n'a jamais été à l'épreuve d'une cyberattaque/d'un audit.
Dans la réalité d'un test d'intrusion ou d'une opération red team, les scans automatisés sont utilisés pour dégrossir le travail, repérer les cibles les plus faibles et avoir une première idée du niveau de sécurité global. Ils sont rarement, voir jamais utilisés dans le cadre de cyberattaques réelles pour des problématiques évidentes de discrétion.
C. Analyse des partages et permissions avec Snaffler
Snaffler est un exécutable Windows qui vise à automatiser la découverte des partages de fichiers des systèmes sur un domaine, puis la recherche d'informations sensibles dans ces partages. Ses règles par défaut, qui sont hautement personnalisables, sont orientées autour des fichiers techniques contenant des mots de passe, des configurations, des archives, crashdump, disques virtuels, etc. Tout type de fichier dans lequel un attaquant pourrait trouver des informations intéressantes.
C'est un outil très efficace qui ne manque jamais à remonter des informations intéressantes, tant la tâche de sécurisation et difficile à atteindre. Il permet notamment d'automatiser une tâche colossale : naviguer dans la totalité des partages de fichiers, dossiers et sous-dossiers d'un système d'informations. Exécuter régulièrement sur un système d'informations, en utilisant des comptes utilisateurs de privilèges différents, il permettra d'être un peu plus confiant sur l'absence d'informations sensibles dans les partages de fichiers, notamment ceux accessibles en lecture par tous les utilisateurs du domaine.
Voici un exemple de lancement de Snaffler et des premiers résultats qu'il peut afficher (Cliquez sur l'image pour zoomer) :
Exemple d'utilisation standard de Snaffler.
Dans cet exemple, on voit que Snaffler réalise dans un premier temps une énumération et recherche des partages de fichiers des systèmes de mon domaine, puis recherche des données sensibles à l'intérieur de ceux-ci. La dernière ligne (marquées en {Red}) est une trace typique de la découverte d'un mot de passe dans un script accessible dans le partage concerné.
D. Diagnostique et conformité de l'Active Directory avec PingCastle
PingCastle est un exécutable Windows orienté autour des vérifications de conformité et de bonnes pratiques de configuration de l'Active Directory, élément plus que central dans la sécurisation d'un système d'information. Dans son utilisation la plus commune, il permet de faire une analyse globale de la sécurité de l'AD suite une collecte d'informationautomatisée. Cette analyse porte notamment sur les utilisateurs, groupes, système d'exploitation, GPO, les permissions et appartenance aux groupes, mais aussi des éléments plus techniques comme la conformité à l'état de l'art concernant des paramètres bien précis :
Lors de l'analyse de la sécurité d'un système d'information, il s'agit réellement d'un incontournable sur le sujet. Une des grandes forces de l'outil est également son rapport, au format web, qui contient une notation globale, une catégorisation des points de vérification et faiblesses découvertes, ainsi que des recommandations et références externes qui permettent de mieux comprendre l'impact des faiblesses découvertes et le sens des recommandations proposées.
Son utilisation est, elle aussi, très simple, depuis un poste intégré au domaine, voici comment l'exécuter :
.\Pingcastle.exe --healthcheck
Comme vous le voyez dans la sortie ci-dessous, celui-ci va réaliser une collecte et une analyse des données de l'Active Directory. il produira ensuite un rapport HTML :
Exécution de PingCastle depuis un poste intégré au domaine.
Enfin, voici un exemple de résultat. Ce premier exemple vous montre la synthèse générale du niveau de risque du domaine déterminé par PingCastle à la suite de son analyse :
Synthèse de l'analyse menée par PingCastle dans son rapport HTML.
Ce second exemple vous expose le cas d'une vulnérabilité précise, avec notamment une description, un détail de l'impact, de la recommandation, des objets concernés :
Exemple de vulnérabilité rapportée et documentée par PingCastle.
Une bonne pratique consiste, par exemple, à réaliser une analyse tous les trimestres et de prendre en compte les recommandations proposées, en commençant bien sûr par les plus urgentes.
Pour aller plus loin dans la compréhension de ce très bon outil, je vous oriente vers nos articles sur le sujet, ainsi que vers Purple Knight qui est une alternative :
E. Recherche des chemins d'attaque dans l'Active Directory avec BloodHound
Bloodhound est une application web couplée à une base Neo4j qui permet de visualiser les relations qui existent entre les nombreux objetsd'un domaine (utilisateurs, groupes, ordinateurs, etc.) et d'y rechercher des chemins d'attaque. Il permet notamment de répondre à une complexité inhérente aux annuaires Active Directory, qui est la succession de relations qui peuvent exister entre plusieurs objets, par l'intermédiaire d'appartenance à des groupes, de présence de session sur un poste, de privilèges et ACL spécifiques, etc. Grâce à BloodHound, ces relations parfois très indirectes, mais bien existantes peuvent être identifiées et visualisées simplement. Voici un exemple :
Exemple de chemin d'attaque simple remonté par BloodHound.
Ce type de relation, qui permet de comprendre que l'utilisateur "[email protected]" est finalement membre du groupe "ADMINS DU DOMAINE" de façon indirecte, n'est pas aisée à visualiser, encore moins à découvrir à l'aide des outils natifs Microsoft. Dans la réalité, cela représente un chemin potentiel pour un attaquant, qui, ayant compromis le compte utilisateur initial, fini par obtenir le plus haut niveau de privilège au sein du domaine : Administrateur du domaine.
BloodHound est un outil puissant, initialement créé par des attaquants/pentesters, mais qui est très utile entre les mains des administrateurs de l'Active Directory une fois maitrisé. Il permet de découvrir des chemins d'attaque parfois complexes et insoupçonnés, notamment grâce à une nouvelle façon de parcourir, visualiser et rechercher dans les données (la théorie des graphes).
Dans les grandes lignes, BloodHound va se baser sur les données de l'Active Directory, que l'on devra collecter pour lui via un agent appelé Collecteur. Il va ensuite stocker ces données dans une base de données neo4j, utilisant le langage de base de données Cypher pour y appliquer des recherches et des filtres, et un front-end en Sigma.js/Go nous permettra de les afficher et de les manipuler. Voici un exemple plus complet et réaliste (cliquez sur l'image pour zoomer) :
Multiples chemins d'attaque remontés par BloodHound vers le groupe ADMINS DU DOMAINE.
Cette vue vous montre de nombreux chemins d'attaque avec des nœuds de différents types (OU, Ordinateur, Utilisateur) et des relations différentes entre ces nœuds (possibilité d'ajouté un membre, de changer un attribut, de lire les attributs sensibles, de se connecter en RDP, d'être propriétaire d'un autre objet, etc.).
L'idée à travers le partage de ces ressources est de vous fournir une liste de bases de connaissances utiles pour comprendre et interpréter les résultats fournis par les outils listés ci-dessus. Également, certaines d'entre elles pourront vous orienter vers les principaux tester à réaliser, ou vous fournir des éléments complémentaires de compréhension concernant les remédiations.
A. Active Directory Mindmap
Cette mindmap, que je vous conseille d'ouvrir localement avec le logiciel "Xmind", représente de manière très concrète la démarche globale et les différentes opérations classiques d'un attaquant. Elle a été conçue par des experts en cybersécurité et tests d'intrusion comme un pense-bête ou méthodologie pour la réalisation d'un test d'intrusion. Un test d'intrusion étant une prestation consistant à simuler une cyberattaque sur un système d'information d'entreprise, la démarche, les outils et les attaques menées sont très proches de la réalité.
Ainsi, suivre la lecture de cette mindmap vous donnera une idée de ce qui peut être tenté par les attaquants si vous n'êtes pas familier de la sécurité offensive, avec autant de points de sécurisation et de contrôle potentiels. Ce genre d'outil, fait pour les attaquants, présente l'avantage par rapport aux guides de bonnes pratiques de se baser uniquement sur actions réelles et concrètes.
Vue macro de l'Active Directory Mindmap d'Orange Cyberdéfense.
Pour une personne non experte en cybersécurité, cette mindmap peut être difficile à appréhender et à comprendre dans son ensemble. Mais, l'étudier permettra cependant de retrouver, pour partie, certains des outils exposés dans cet article ou des types de faiblesses et d'attaques que les outils de globaux de scan comme PingCastle, nuclei ou nmap peuvent identifier.
Exemple de tâche de cartographie et d'énumération provenant de la mindmap AD.
L'exemple ci-dessus vous montre une partie des tests réalisés en boite noire, c'est-à-dire sans compte sur le domaine et en étant uniquement connecté au réseau interne de l'entreprise. On y retrouve bien sûr l'utilisation de l'outil nmap pour la réalisation d'une cartographie du réseau.
Le framework ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) du MITRE est une base de connaissances des techniques d'attaque maintenue et mise à jour grâce aux observations et investigations des cyberattaques effectuées à travers le monde. Elle vise à fournir à tous un référentiel des opérations des attaquants afin de mieux les comprendre, les étudier, et s'en protéger.
Vous trouverez notamment dans cette base de données, un peu intimidante au début, de nombreuses informations sur ce qu'un attaquant est capable et susceptibles de réaliser comme attaque sur un système d'information :
Vue globale des TTP du framework MITRE ATT&CK.
Plusieurs des outils cités dans cet article utilisent notamment des références au MITRE ATT&CK et ses TTP (Tactics, Technics & Procedures, nom donné à chaque type d'attaque référencé) pour expliciter la menace que représente un défaut de configuration ou une autorisation trop permissive.
Voici un exemple de TTP, qui explicite l'attaque consiste à effectuer un brute force de mot de passe sur un compte utilisateur :
Description du TTP T1110.001.
Chaque TTP contient notamment une description, des outils susceptibles d'être utilisé, des exemples de groupes de cyberattaques réels ayant utilisé cette technique par le passé et une liste de recommandation pour se protéger et détecter l'opération en question :
Exemple de recommandations et techniques de détection du TTP 1110.001
Le référentiel de l'ANSSI sur les points de contrôle de l'Active Directory est également une très bonne ressource à connaitre pour évaluer la sécurité de son domaine.
En complément des outils d'analyse comme PingCastle et BloodHound, le contenu des recommandations proposées et leur priorisation permet d'avoir une base de travail pour analyse la sécurité de son Active Directory et expliciter certains points identifiés par les outils cités dans cet article :
Les différents points de contrôle y sont triés par priorité et accompagnés d'une recommandation pour vous orienter sur l'application des correctifs. Vous pourrez parfois faire un lien direct entre les points de contrôle PingCastle est ceux de l'ANSSI.
Nous avons fait le tour de ce que je considère être les principaux outils offensifs que les administrateurs système et réseau peuvent utiliser afin de prendre la température du niveau de sécurité de leur système d'information. Il en existe beaucoup d'autres, souvent plus complexes, mais maitriser ceux présentés ici vous fera certainement avancer dans le bon sens quant à la sécurité de votre système d'information et de votre domaine.
N'hésitez pas à utiliser les commentaires et le Discord pour partager votre avis !
Avis aux utilisateurs de smartphones Google Pixel : une faille de sécurité importante déjà exploitée au sein de cyberattaques a été corrigée par Google ! Voici ce qu'il faut savoir.
Google a mis en ligne un énorme patch de sécurité pour corriger près de 50 vulnérabilités dans le firmware de ses appareils Pixel. Elles viennent s'ajouter à celles corrigées dans Android. L'une de ces failles de sécurité mérite une attention particulière : la CVE-2024-32896. Considérée comme importante, elle permet d'effectuer une élévation de privilèges sur l'appareil Pixel.
Avant même que ce correctif soit mis en ligne par Google, elle aurait été exploitée en tant que faille zero-day par des cybercriminels. Dans le bulletin de sécurité publié par l'entreprise américaine, voici ce que nous pouvons lire : "Il semblerait que CVE-2024-32896 fasse l'objet d'une exploitation limitée et ciblée." - Comme à son habitude, Google n'a pas donné de précisions supplémentaires afin de protéger ses utilisateurs. Mais, cette phrase laisse entendre qu'il s'agirait d'attaques ciblées.
Le correctif de juin 2024 pour les appareils Pixel est déjà disponible et Google a commencé à le distribuer auprès de ses appareils. Bien entendu, les utilisateurs sont encouragés à installer cette mise à jour dès que possible : "Tous les appareils Google pris en charge recevront une mise à jour au niveau du correctif 2024-06-05. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils."
Bien que Google soit à l'origine des appareils Pixel et du système d'exploitation Android, il y a des mises à jour distinctes pour les deux produits. En effet, bien que les smartphones Pixel tournent sur Android, ils utilisent une plateforme matérielle spécifique à Google qui implique des correctifs dédiés. Que ce soit pour la sécurité ou les simples bugs.
Arm : une alerte du côté du GPU Mali
Par ailleurs, des chercheurs en sécurité ont émis une alerte au sujet d'une faille de sécurité présente dans le pilote du noyau du GPU Arm Mali. Associée à la référence CVE-2024-4610, cette vulnérabilité serait activement exploitée dans la nature. Vous pouvez retrouver le bulletin de sécurité sur cette page.
Enfin, voici les produits affectés :
Bifrost GPU Kernel Driver : toutes les versions de r34p0 à r40p0
Valhall GPU Kernel Driver : toutes les versions de r34p0 à r40p0
Un nouveau rapport de Symantec laisse entendre que le gang de ransomware Black Basta aurait exploité une faille de sécurité dans Windows avant même que celle-ci soit connue et corrigée par Microsoft. Elle facilite l'élévation de privilèges sur une machine Windows. Faisons le point !
Si vous n'avez pas installé les mises à jour Windows sur vos postes de travail et serveurs depuis plusieurs mois, cet article pourrait bien vous faire changer d'avis. La faille de sécurité CVE-2024-26169, corrigée par Microsoft le12 mars 2024 via le Patch Tuesday, aurait été exploitée en tant que zero-day par les cybercriminels de Black Basta.
Présente dans le service de signalement des erreurs de Windows (Windows Error Reporting Service), cette vulnérabilité permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur une machine locale. C'est d'ailleurs précisé sur le site de Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."
Une faille de sécurité exploitée par le ransomware Black Basta
Bien que Microsoft considère que cette faille de sécurité n'est pas exploitée par des pirates, le dernier rapport de Symantec affirme le contraire. D'ailleurs, voici la première phrase de ce rapport : "Certains éléments suggèrent que des attaquants liés à Black Basta ont compilé l'exploit CVE-2024-26169 avant la sortie du correctif" (de Microsoft).
Récemment, les experts de Symantec ont analysé un outil d'exploitation utilisé au sein de plusieurs cyberattaques. Tout porte à croire que cet outil a été compilé et exploité bien avant que le patch de Microsoft soit disponible.
Au-delà de son fonctionnement purement technique, ce qui est intrigant, ce sont les horodatages de compilation des deux versions de l'outil d'exploitation analysées par Symantec. Le premier est daté du 27 février 2024, tandis que le second a été compilé encore plus tôt, le 18 décembre 2023. Soit entre 14 et 85 jours avant la publication du correctif de sécurité de Microsoft !
Cet horodatage est modifiable, mais Symantec pense que ce n'a pas été le cas ici : "Toutefois, dans le cas présent, les auteurs de l'attaque ne semblent guère motivés pour modifier l'horodatage à une date antérieure.", peut-on lire.
Cet exploit a été utilisé pour compromettre des machines sous Windows par l'intermédiaire de la CVE-2024-26169. Pour se protéger, il est nécessaire de mettre à jour Windows : la vulnérabilité en question a été corrigée avec les mises à jour cumulatives de mars 2024. Elle affecte Windows et Windows Server.
Microsoft affirme que la fonctionnalité DirectAccess est obsolète et qu'elle sera supprimée d'une future version de Windows. À la place, vous devez vous orienter vers la fonctionnalité "Always on VPN". Faisons le point.
Introduite dans Windows 7 et Windows Server 2008 R2, la fonctionnalité DirectAccess offre la possibilité à une machine intégrée à un domaine Active Directory d'être constamment connectée au réseau de l'entreprise, sans utiliser une connexion VPN classique. Le successeur de cette fonctionnalité d'accès à distance est connu depuis plusieurs années : il s'agit de la fonction Always on VPN disponible depuis Windows Server 2016 et Windows 10. Elle est également prise en charge sur les dernières versions de Windows Server et Windows 11.
Fonctionnant sur le même principe que DirectAccess (connexion au réseau de l'entreprise toujours active), Always on VPN est plus flexible et plus sécurisé puisque cette fonctionnalité prend en charge le MFA pour l'authentification, ainsi que divers protocoles VPN pour sécuriser les échanges (IKEv2, SSTP). De plus, Always on VPN présente la particularité de pouvoir être utilisé aussi bien par des machines intégrées au domaine Active Directory, que celles qui ne le sont pas.
Il y a quelques heures, Microsoft a ajouté DirectAccess à la liste des fonctionnalités obsolètes de Windows. Sur le site de l'entreprise américaine, voici ce que nous pouvons lire : "DirectAccess est obsolète et sera supprimé dans une prochaine version de Windows. Nous recommandons de migrer de DirectAccess vers Always On VPN."
Comment migrer de DirectAccess à Always on VPN ?
La documentation de Microsoft contient un guide spécial pour vous accompagner et vous conseiller dans la migration de DirectAccess vers Always on VPN. La firme de Redmond recommande aux organisations de déployer Always on VPN en parallèle de DirectAccess pour effectuer une transition en douceur.
Pour le moment, nous ne savons pas quand DirectAccess sera retiré de Windows... Aucune date n'est fournie par Microsoft. Mais, il est préférable d'anticiper ce changement pour éviter une interruption de service sur les accès distants.
Dans cet article, nous allons nous intéresser aux attaques par brute force qui peuvent être menées sur les comptes utilisateurs d'un Active Directory, d’une application web ou de tout autre service réseau.
Nous verrons en quoi consistent ces attaques et quel est le but recherché par l'attaquant, nous parcourrons les différents types de brute force qui existent et peuvent être exploités lors d'une cyberattaque en fonction de l’objectif et du niveau de discrétion recherchés. Nous aborderons enfin les principales mesures à prendre pour s'en protéger.
II. Qu'est-ce qu'une attaque par brute force ?
Une attaque par brute force, appelée aussi "bruteforce attack" ou attaque par force brute, consiste pour un attaquant à tenter d’obtenir les identifiants d’un compte utilisateur en essayant une multitude de mots de passe sur un même login. Une telle attaque se caractérise surtout par le nombre d’essais que l’attaquant va réaliser afin de tenter de compromettre un compte. Le plus souvent, il va utiliser des dictionnaires de mots de passe (appelés “wordlist”), composés de plusieurs milliers ou millions de lignes, chacune étant un mot de passe potentiel.
Dans le cadre d'une cyberattaque, l'attaquant va utiliser le brute force afin de compromettre facilement des comptes utilisateurs qui possèdent un mot de passe faible. Cette opération peut être menée en tant que première étape d'une intrusion (par exemple, sur les services de l'entreprise exposés sur Internet) ou alors en visant des services internes à l'entreprise après une première compromission.
Un “identifiant” étant composé d’un login (nom d'utilisateur) et d’un mot de passe, le fait de connaître le login est déjà une information intéressante pour un attaquant, puisqu’il va déjà être en possession de 50% de l’information nécessaire à la compromission d’un compte.
Plus concrètement pour compromettre le compte ayant le login "admin", un attaquant va essayer le couple “admin : password”, puis “admin : admin”, puis “admin : superMDP123!”, etc. Pour qu’une attaque digne de ce nom soit menée, l’attaquant automatisera le processus grâce à des programmes conçus pour ce genre d’opérations et adaptés au contexte (application web, service SSH, SMB, etc.), lui permettant de réitérer son opération d'authentification rapidement et sans effort.
Imaginez avoir en énorme trousseau de clés en main et une serrure verrouillée en face de vous. Le fait de tester toutes les clés une à une est précisément la définition d'un brute force.
Certains outils permettent aujourd’hui de tenter des milliers de combinaisons par seconde depuis un simple ordinateur. Parmi ces outils, on peut notamment citer “hydra”, “netexec” ou “metasploit”.
Le brute force est une technique d’attaque connue et fréquemment utilisée. Elle est référencée dans le framework MITRE ATT&CK sous le TTP T1110 :
Cette page vous permettra notamment de trouver de nombreux cas réels d’utilisation du brute force dans des attaques étatiques ou d’envergures :
Par exemple, les attaques par brute force font partie de la méthodologie du groupe APT29 (groupe d’espionnage affilié à la Russie et ciblant les pays de l’OTAN) d’après le framework MITRE ATT&CK :
III. Les différents types d’attaques par brute force
A. Le brute force "classique"
La plupart du temps, une attaque par brute force va cibler plusieurs comptes utilisateur, cela afin de maximiser les chances de trouver un compte ayant un mot de passe faible. L’attaquant disposera alors d’une wordlist de login (vérifiés ou potentiels) et d’une wordlist de mots de passe. Il va donc tenter chaque combinaison “login : mot de passe” :
Dans les faits, les attaque par brute force peuvent cibler tout service ou application utilisant le login et le mot de passe comme facteurs d’authentification et étant insuffisamment protégé. Cela concerna donc aussi bien les applications web et leur page de login classique, les services SSH ou encore au sein d’un système d’information l’Active Directory, qui propose à lui seul de nombreux services permettant une authentification (Kerberos, SMB, RPC, LDAP, WinRM, RDP, etc.) et joue, entre autres, le rôle d'autorité d'authentification au sein d'un domaine.
Il faut ici se représenter le nombre de tentatives d’authentification que génère ce type d’attaque. Si je dispose d’une liste de 100 logins sur lesquels je souhaite tester 20 000 mots de passe. Cela signifie que mon attaque va générer 2 millions de tentatives d’authentification.
Pour être plus précis, ce type de brute force est décrit le framework MITRE ATT&CK en tant que "Bruteforce: password guessing", car l'on tente de deviner le mot de passe d'un utilisateur de façon agressive :
Il existe également des cas où l’attaquant va vouloir cibler un compte bien identifié, on parle alors d’attaque ciblée. Ce cas de figure s’observe notamment quand l’attaquant a identifié un compte particulièrement sensible ou hautement privilégié.
Également, ces attaques sont utilisées lorsque les services ou applications utilisent encore un compte d’administration par défaut. Par exemple, le compte “admin” d’une application web qui est le premier compte existant sur toutes les instances de celle-ci. On peut également mentionner le compte “administrateur/administrator” dans les environnements Windows (local ou au niveau du domaine).
Lors d’une attaque par brute force ciblée, l’attaquant ne va cibler qu’un seul (ou un nombre réduit) compte utilisateur, mais toujours utiliser un dictionnaire de mot de passe. Il mise alors sur le fait que ce compte précis possède un mot de passe faible, présent dans sa wordlist :
Ce type d’attaque génère naturellement moins de requêtes (cela dépend toujours du dictionnaire de mot de passe utilisé), mais n’en est pas moins efficace si le compte ciblé possède effectivement un mot de passe faible. Voici la démonstration d’une attaque par brute force ciblée sur un service SMB dans un environnement Windows Active Directory, le compte ciblé est toujours le même “IT-CONNCET.TECH\KATY_CRAFT”, mais le mot de passe change à chaque essai :
émonstration d’une attaque par brute force sur un service SMB via “netexec”
Comme vous le voyez dans cet exemple, l’outil utilisé va tenter plusieurs mots de passe et cibler le compte “IT-CONNECT.TECH\KATY_CRAFT”, jusqu’à trouver la bonne combinaison.
C. Le password spraying
Un troisième type d’attaque par brute force existe et est notamment utilisée dans le cadre des intrusions en environnement Active Directory : le password spraying.
Cette attaque consiste à tenter de s’authentifier sur de multiples comptes à l’aide d’un seul mot de passe (ou une liste très réduite de mots de passe). Le cas le plus parlant est celui où l’attaquant parvient à obtenir le fameux “premier mot de passe par défaut” qu’un administrateur peut assigner à chaque nouvel utilisateur et qu’il doit changer au plus vite, un mot de passe en général très complexe tel que “Bienvenue01.” ou “ChangezMoi!”.
En tombant sur de tels mots de passe, un attaquant peut se dire que d’autres comptes, nouvellement créés ou jamais utilisés, ont également ce mot de passe, il va donc tenter de s’authentifier sur chaque compte de l’Active Directory avec celui-ci.
Pour un attaquant, le password spraying possède un grand avantage : il évite le blocage de compte.
En effet, par défaut, certains mécanismes sont présents en environnement Active Directoy (et aussi sur certains services et applications web) et consistent à verrouiller temporairement un compte utilisateur ayant subi de trop nombreuses tentatives d’authentification infructueuses. Dès lors, les attaques de type brute force classique vont avoir pour effet de bloquer tous les comptes, ce qui bloquera l'attaque, mais perturbera les utilisateurs, et donc lèvera l’alerte.
Via le password spraying, aucun risque de blocage. Cette opération va donc utiliser un dictionnaire d’utilisateurs là où l’attaque par brute force classique va utiliser un dictionnaire de mots de passe.
Pour une description plus formelle, je vous oriente vers le TTP du MITRE dédié à ce type d’attaque :
Bien sûr, d’autres méthodologies plus subtiles existent dans ce contexte des attaques par brute force. Il existe, par exemple, des listes de login “communs” qui sont susceptibles d’être présents sur tous les gros Active Directory d’entreprise. Un ensemble de listes que j’utilise fréquemment et qui donne de bons résultats est situé sur ce dépôt Github :
Si vous avez déjà travaillé sur de gros Active Directory, il y a fort à parier que des comptes avec des logins tels que ceux-ci existent dans votre Active Directory :
svc-backup
ldapsvc
formateur
accueil
imprimante
scan
etc.
Dès lors, et sans connaissance d’aucun login valide, un attaquant peut utiliser ce genre de dictionnaire pour tenter des attaques en “user as pass”, c’est-à-dire ciblant des comptes qui ont un login “commun” ainsi qu’un mot de passe égal à leur login (exemple “scan:scan”).
Dans ces cas de figure, l’attaquant tente un mot de passe par login également, mais avec un mot de passe “différent” (car dépendant du login utilisé).
Cela peut paraître totalement absurde, mais c’est loin d’être rare et c’est généralement un moyen très rapide et simple d’obtenir un premier accès authentifié à un Active Directory. On peut également retrouver ce type d’opérations dans un contexte web visant des services et applications/frameworks connus. Il existe, par exemple, des listes de couples login/mot de passe connus pour l’accès à un Tomcat Manager qui serait un peu trop exposé, ou d'autres contenant des identifiants fréquemment utilisés pour les services SSH (“root:root”, “root:toor”, etc.)
IV. Où l’attaquant trouve-t-il des mots de passe ?
On peut naturellement se poser la question de la provenance des dictionnaires de mots de passe utilisés par les attaquants lors d’un brute force. Comment l’attaquant choisit les mots de passe qu’il va tenter ?
Nous avons vu qu'une attaque par brute force, l’attaquant se constitue donc une liste de logins à partir de différentes sources, puis il utilisera des dictionnaires de mots de passe déjà constitués. Ces dictionnaires de mots de passe sont la plupart du temps récupérés publiquement. Il existe des dépôts GitHub publics qui référencent de nombreuses wordlist, la plupart étant issues :
D’un travail de référencement des mots de passe par défaut d’application web, d’équipements en tout genre (switch, routeur) ou de services (mssql, mysql, etc.).
De fuites de données dont le contenu finit par être publié sur Internet (cas de l’entreprise Rockyou, dont la fuite de données à entrainé la création d'une wordlist contenant 14 344 391 mots de passe).
Voici, en exemple, l’un des dépôt GitHub les plus connus :
D'autres sources de liste de mots de passe existent, dont certaines totalement illégales. On peut notamment mentionner les sites qui proposent l'achat du contenu des fuites de données récentes.
Pour des attaques plus précises, l’attaquant peut lui-même construire sa propre wordlist en fonction de son contexte d’attaque. Il utilisera alors une base de mots probables (nom de l’entreprise, nom et numéro de département) ainsi que des outils comme "hashcat" ou "johntheripper", qui permettent de construire des dérivés de mots de passe ("IT-Connect" deviendra "IT-C0nnect", "IT-Connect01!", "ItConnect2024!", etc.) à partir d’une liste initiale. Voici un exemple :
Exemple de permutations faites sur un mot afin de construire une liste mot de passe.
V. Comment se protéger d'une attaque par brute force ?
A. Politique de mot de passe
La première et principale mesure à prendre afin de se protéger des attaques par bruteforce est de renforcer la robustesse de tous les mots de passe. Il convient de mettre en place une politique de mot de passe robuste afin de limiter les chances de succès d’une attaque par brute force basée sur des mots de passe triviaux. Plus les mots de passe sont longs et aléatoires, moins un attaquant aura de chance de les découvrir via ce type d’attaque.
Je vous oriente vers le guide de l’ANSSI sur le sujet pour définir une politique de mot de passe efficace :
En plus des éléments habituels que sont la longueur, la complexité et le nombre d’alphabets utilisés, la politique doit aussi s’assurer que, dans son mot de passe, l’utilisateur n’utilise pas de mots issus d’informations “publiques” (son nom, nom d’un proche, nom de l’entreprise, d’un projet, région, lieu de vacances de l’année dernière…). Pour cela, différentes techniques et outils existent en fonction des contextes. On peut notamment citer :
Il peut aussi être envisagé des contrôles d’entropie, notamment dans le cadre d’application web.
Attention, il ne faut pas oublier que la politique de mot de passe doit être appliquée à la création d’un compte, mais aussi lors des phases de changement de mot de passe.
B. Politique de verrouillage/quota
Nous avons vu que la politique de verrouillage a aussi son importance. Celle-ci permet de définir le seuil de verrouillage d’un compte, mais aussi la durée du verrouillage et la fenêtre de temps observation.
Grâce à ces paramètres, il est possible de grandement ralentir l’opération de l’attaquant, voire de le détecter si un pic de verrouillage de compte est observé. Attention toutefois aux effets de bords (blocage d’un grand nombre de comptes utilisateur). À nouveau, je vous invite à lire notre article sur le sujet :
Ces politiques de verrouillage de compte peuvent parfois plutôt prendre la forme d’un quota ou d’un bannissement temporaire d’IP. C’est notamment le cas pour les applications web exposées sur Internet. Dans de tels cas, un attaquant pourrait très facilement exploiter la politique de verrouillage des comptes afin de bloquer temporairement ou définitivement (en fonction de sévérité de la politique) les comptes utilisateurs de la plateforme visée.
Il est, en effet, tout à fait envisageable pour un attaquant d’atteindre le seuil de verrouillage pour un compte qu’il sait existant sur l’application web visée afin de rendre indisponible l’application pour le ou les utilisateurs ciblés. Puis, de recommencer son opération de blocage dès que le verrouillage aura expiré, entraînant de fait un déni de service.
Pour empêcher cette exploitation du seuil de verrouillage, il est en général préféré de bannir l’adresse IP de l’attaquant ou de n’autoriser une même adresse IP à faire uniquement quelques requêtes d’authentification par minute.
C. Authentification multifacteurs
La troisième principale méthode pour se protéger des attaques par brute force est de faire en sorte que la connaissance du mot de passe ne suffise pas à se connecter à un compte. On y ajoutera alors un second facteur d’authentification, comme un OTP (One Time Password) envoyé par SMS, e-mail ou via une application spécialisée sur smartphone.
En fonction de la réponse du service visé, l’attaquant pourra certainement savoir si le mot de passe tenté est correct (redirection vers la phase “second facteur”), mais cette information ne sera pas suffisante pour compromettre les comptes ciblés.
Pour aller plus loin, je vous recommande vivement de consulter l’excellent document de l’ANSSI à ce sujet :
Dans cet article, nous avons vu ce que sont les attaques par brute force et dans quel but elles sont utilisées lors d’une cyberattaque, que ce soit dans un environnement Active Directory, une application web ou tout autre service réseau dont la sécurité repose sur le couple login/mot de passe.
Nous avons également vu les principaux moyens de protection des comptes utilisateurs contre ces attaques. Pour aller plus loin, il faudrait s’intéresser au moyen de détection d’une telle attaque, mais cela dépend beaucoup de l’environnement ciblé et sera différent, qu’il s’agisse d’un service SSH isolé, d’une application web, ou d’une opération ciblant les comptes d’un Active Directory.
Dans tous les cas, un élément commun sera à utiliser : les journaux d’évènements, leur bonne configuration, leur centralisation et leur surveillance active !
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Connexion
